XRTN Ransomware Bekämpfung

sophomore

Hallo Leute,

Da ich hier neu bin, kann ich leider nicht direkt bei den anderen Threads antworten, sondern muss diesen neuen aufmachen. Naja, vielleicht können wir ja hier Informationen sammeln. Es geht um die Ransomware, die alle Dateien verschlüsselt und als ".xrtn" ablegt.

Ich bin zwar eigentlich Programmierer, aber weil mein Chef sich diese Malware eingefangen hat, hab ich mir mal seinen Computer näher angesehen. Zum ersten haben wir zusammen die Ursache gefunden: ein böser JavaScript code (https://gist.github.com/anonymous/b60ff3e4562c0ad0a1c9). Na gut, den habe ich also mal ein bisschen Kommentiert, um zu sehen was er genau macht: https://gist.github.com/anonymous/106f832b42c23e58ea17.

Das JavaScript lädt also ein paar Dateien von einem Server herunter:

• Do_88u.css, was in Do_88u.docx umbenannt und geöffnet wird
• design.css, was in gpg.exe umbenannt wird
• br.css, was in dsfsdghd.bat umbenannt und ausgeführt wird

Mein Chef hat kein Word installiert, also hat das öffnen des Word-Dokumentes nichts bewirkt. Ich kann mir aber gut vorstellen, dass mit dem Wort-Dokument ein paar Makros installiert werden, die dafür Sorgen, dass sich die Malware fortpflanzt (bei uns kam sie als Anhang an, der eigentlich ein Wort-Dokument sein sollte).

Interessanter wird es bei der BAT Datei. Diese sieht (ein wenig optisch aufgebessert) so aus: https://gist.github.com/anonymous/4fb6f41df65b47dc5421. Ich habe mir die nur flüchtig angesehen, aber im Prinzip erreicht sie folgendes:

1. Dateien werden verschlüsselt
2. Legt ein paar Dateien in %TEMP% an, die per Registry in den Autostart kommen, damit die Zahlungsaufforderung am Start angezeigt wird

Das interessante liegt beim verschlüsseln, denn: die Malware nutzt asymmetrische verschlüsselung mittels GPG. Bei der asymmetrischen Verschlüsselung gibt es ja zwei verschiedene "Passwörter" zum verschlüsseln, und das nutzt sie folgendermaßen:

• Sie bringt einen Public Key mit, dessen Private Key nur die Script Kiddies besitzen, die die Malware geschrieben haben
• Sie legt ein neues Public (verschlüsseln)/Private (entschlüsseln) Keypaar mit gpg.exe an
• Sie verschlüsselt alle Dateien mit einer bestimmten Endung mit dem public key mit gpg.exe
  und legt sie als dateiname.xrtn ab
• Sie verschlüsselt den Private Key (den man zum entschlüsseln bräuchte) mit dem mitgebrachten Public Key

Ergo müsste man zum entschlüsseln den verschlüsselten Private Key an die netten Scammer schicken, die ihn dann entschlüsseln könnten.

Meine Idee war folgende: wenn das Keypair erst auf dem System generiert wird, muss es ja irgendwann mal auf der Festplatte gelegen haben. Die Malware löscht den ja auch nicht sicher, und Dateisysteme wie NTFS überschreiben inodes, die zu gelöschten Dateien gehören, ja nicht direkt. Also habe ich Linux gestartet, und die Festplatte nach ungenutzten inodes durchsucht, die aussehen wie ein Key, habe aber leider (noch) nichts gefunden.

Meine Fragen sind:
@riesel: wie viel musstest du bezahlen?
@DHa: kennst du dich ein bisschen mit Linux aus? Dann könntest du das selbe versuchen, was ich probiert habe, vielleicht klappt es ja.
@all: hat sonst noch jemand Ideen/Tipps, was man machen könnte?

Ich habe ein komplettes Image der Festplatte und ein paar andere Dateien herausfischen können, die interessant aussehen, unter anderem den Public Key. Die benutzen nur RSA mit 1024 bits!