Hallo,
einen Freund von mir hat es erwischt, er hat eine Mail von Bekannten aus den USA bekommen und den Anhang (zip) Datei geöffnet.
Jedenfalls sind seine Dateien jetzt verschlüsselt und ein Backup hat er natürlich auch nicht, wie immer. Ich habe mir jetzt ein paar Dateien, die im Original sowie verschlüsselt vorliegen schicken lassen aber wenn die Aussage "Specially for your PC was generated personal RSA-4096 KEY, both public and private." zutrifft ist da wohl nichts zu machen oder ?.

Avira hat nichts bemerkt.

Hier noch der ganze Text:

how_recover+oho.txt

What happened to your files ?
All of your files were protected by a strong encryption with RSA-4096.
More information about the encryption keys using RSA-4096 can be found here: hxxp://en.wikipedia.org/wiki/RSA_(cryptosystem)

What does this mean ?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them,
it is the same thing as losing them forever, but with our help, you can restore them.

111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111
How did this happen ?
---Specially for your PC was generated personal RSA-4096 KEY, both public and private.
---ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.

What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way.
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. hxxp://vr6g2curb2kcidou.encpayment23.com/9AF0E5B810F14BC8
2. hxxp://vr6g2curb2kcidou.expay34.com/9AF0E5B810F14BC8
3. hxxp://psbc532jm8c.hsh73cu37n1.net/9AF0E5B810F14BC8
4. https://vr6g2curb2kcidou.onion.to/9AF0E5B810F14BC8

If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: hxxp://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: vr6g2curb2kcidou.onion/9AF0E5B810F14BC8
4. Follow the instructions on the site.

IMPORTANT INFORMATION:
Your personal pages:
hxxp://vr6g2curb2kcidou.encpayment23.com/9AF0E5B810F14BC8
hxxp://vr6g2curb2kcidou.expay34.com/9AF0E5B810F14BC8
hxxp://psbc532jm8c.hsh73cu37n1.net/9AF0E5B810F14BC8
https://vr6g2curb2kcidou.onion.to/9AF0E5B810F14BC8
Your personal page (using TOR-Browser): vr6g2curb2kcidou.onion/9AF0E5B810F14BC8
Your personal identification number (if you open the site (or TOR-Browser's) directly): 9AF0E5B810F14BC8
111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111

Richtig, da ist so gut wie nix zu machen.

Evtl mit Software wie Recuva, oder http://www.trojaner-board.de/115496-...erstellen.html, wobei die Schattenkopien, falls sie denn aktiv waren, von der Malware gelöscht werden.

Der aktuelle Crypter mit der Endung .vvv ist momentan nicht durch Werkzeuge zu entschlüsseln.

In der Vergangenheit konnten bei einigen Verschlüsselern entweder aufgrund schwacher Verschlüsselung oder durch Hochnehmen der Server, die Schlüssel zur Verfügung gestellt werden.

Für diesen Verschlüsseler gibt es nach meinem Sachstand momentan nichts zum Entschlüsseln.

Das hatte ich befürchtet. Die Verschlüsselung erfolgt scheinbar mit TeslaCrypt.

Eine theoretische Möglichkeit wäre vielleicht den Rechner nochmal zu infizieren und mit einem Sniffer die Kommunikation des Trojaners mit seinem Server zu loggen und zu hoffen, das der gleiche Schlüssel nochmal generiert wird und sich irgendwie lesen lässt.

Zitat:

Zitat von hgl

Das hatte ich befürchtet. Die Verschlüsselung erfolgt scheinbar mit TeslaCrypt.

Eine theoretische Möglichkeit wäre vielleicht den Rechner nochmal zu infizieren und mit einem Sniffer die Kommunikation des Trojaners mit seinem Server zu loggen und zu hoffen, das der gleiche Schlüssel nochmal generiert wird und sich irgendwie lesen lässt.

Google mal asymmetrischer Verschlüsselung...

Oder hier:

https://de.wikipedia.org/wiki/Public...lungsverfahren

Das erneute Infizieren bringt garnix nur weitere Sicherheitsprobleme.

Es gibt einen Private Key, den haben die Erpresser und er ist nicht bekannt.
Es gibt einen Public Key, der ist Bestandteil der Malware.

Das Grundprinzip asymmetrischer Verschlüsselung ist, das ein Datei X durch den Public Key P zwar verschlüsselt werden kann, die Entschlüsselung nur mit dem Private Key S möglich ist.

Durch die hohe Bittiefe die hier wohl tatsächlich 4096bit beträgt, ist ein "Knacken" nicht möglich bzw. nicht effektiv möglich.

Den Rechner setze ich ihm so oder so neu auf es geht nur um ein paar wichtige Daten.

Der Schlüssel besteht aus einem geheimen und einem öffentlichen Teil.
Der öffentliche Teil genügt zum Verschlüsseln.
Zum Entschlüsseln braucht man aber beide.

Wenn ich jetzt aber massenhaft erpressen will und gegen Bezahlung den geheimen Schlüssel herausgebe, wäre es doch unklug nur einen geheimen Schlüssel zu haben. Eine Möglichkeit wäre das Schlüsselpaar beim verschlüsseln zu erzeugen und an einen Server schicken der die individuellen Schlüsselpaare speichert. Der geheime Teil wird dabei lokal nicht gespeichert und bleibt für den Erpressten geheim. Und diese Kommunikation mit dem Server möchte ich loggen.

Soweit die Theorie ...

Nachtrag:

Soeben gefunden:
hxxp://www.heise.de/forum/heise-online/News-Kommentare/Verschluesselungstrojaner-Neue-TeslaCrypt-Version-grassiert/Mal-paar-Details-zu-den-Infektionen/thread-4108771/#posting_24005539

Da sieht eher nach einer anderen Generierung der Schlüssel aus.

Ich möchte dich nur ungern enttäuschen und ich wollte es eigentlich so einfach wie möglich halten.

Du kannst natürlich gern irgendwas nochmal infizieren lassen und mitschneiden, nur hilft es dir trotzdem nicht.

Im Detail läuft das so ab:

Der Cryptor erstellt einen Session-Key, der nur für diese Sitzung gültig ist und am Rechner des Opfers erzeugt wird.
Damit wird der Content (Bilder,Dokumente usw) symmetrisch verschlüsselt
Nach getaner Arbeit wird der Symmetrische Schlüssel mit dem Public Key des asymmetrischen Schlüsselpaars verschlüsselt, der ursprüngliche symmetrische Schlüssel wird gelöscht bzw. vorher noch an einen C&C Center geschickt.

Die Meldung geht auf, mit deinem "Persönlichen Bereich" im TorBrowser, der persönliche URL Teil ist ein Hinweis auf den symmetrischen Schlüssel.

Den "Erpressern" darfst du dann die Serial zum verschlüsselten symmetrischen Key schicken + Geld.
Sobald du die Kohle bezahlt hast, erhältst du den wieder entschlüsselten symmetrischen Key.

Der Key wird RANDOM beim starten erzeugt, du wirst durch eine Neuinfektion nicht den selben symmetrischen Key erhalten.

https://nakedsecurity.sophos.com/201...are-explained/

Danke für den Link, da ist natürlich nichts zu machen.

Oder doch ...

Habe ich gerade gefunden:

Cisco hat eine Tesla Decrypter Toool, hat das jemand schonmal ausprobiert ?

hxxp://blogs.cisco.com/security/talos/teslacrypt

Download: https://github.com/vrtadmin/TeslaDecrypt

Der Trojaner legt scheinbar ein File mit Keys auf der Platte an und die brauch das Tool, deshalb kann ich es nur mit den verschlüsselten Dateien nicht ausprobieren.

Ich lass mir den Rechner mal vorbei bringen, die Hoffnung stirbt zuletzt.


Ich lass mir jetzt mal den Rechner bringen und probier das mal aus