Trojaner-Board
Seite 1 von 10 1 23 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   ScareUncrypt - Tool für verschlüsselte Dateien (https://www.trojaner-board.de/114548-scareuncrypt-tool-verschluesselte-dateien.html)

BITFOX 29.04.2012 17:29
ScareUncrypt - Tool für verschlüsselte Dateien
 
Hallo,

bei einem Kunden hatte ich den gleichen Trojaner vor ca. einer Woche schon als Fund und hatte ebenfalls schon angefangen, was zu programmieren.
Finde ich toll, dass anscheinend mehrere Menschen im Netz die gleichen Ideen haben ;-)

Ich bin grade dabei einen "universellen" Unlocker zu bauen -
unter XP kann ich derweil den Schlüssel automatisch erstellen, ohne dass irgendwelche alten und neuen Dateien gebraucht werden.
( hxxp://startseite.bitfox24.de/2012/04/sie-haben-sich-mit-einen-windows.html )

Bin grade dabei ein Image mit VISTA und WIN7 absichtlich zu infizieren, um das ganze dort auch einmal nachzustellen.

Eine neue Verision von dem Trojaner ist ausserdem so dreist und sucht die Network-Shares ab - also Vorsicht, wenn wer in einer Virtuellen Maschine etwas nachstellt oder ihr euch mit einer infizierten Maschine im Netzwerk befindet!

Kind Reguars,

Oliver

Wichtiger Hinweis:


Es ist bereits eine neue Variante im Umlauf, die sich nicht mehr einfach entschlüsseln lässt. Daher folgende Hinweise:
  • Arbeitet immer mit Backup-Dateien
  • Meldet Euch, wenn es Probleme gibt, denn nur so können neue Lösungen erarbeitet werden.
Download: scareuncrypt.zip

Zitat:
ScareUncrypt 2012-05-30 22:41

ein simples Entschlüsselungs-Programm für ScareWare-locked-Dateien.

Der einfache Weg:

Nach Möglichkeit startet das Programm z.B. unter WindowsXP und hat bereits einen Schlüssel generiert.
Der etwas aufwendigere Weg:
Wenn nicht, müssen Sie dem Programm helfen und selbst einen Schlüssel berechnen.
1) Sie benötigen dafür eine verschlüsselte (defekte) Datei. (Datei 1)
2) die gleiche Datei nochmal - allerdings in einer Kopie, als die Datei noch "ok" war (z.B. Sicherheitskopie von CD-ROM). (Datei 2)
Der Schlüssel wird dann berechnet und bereit gestellt.

Anschließend ein Verzeichnis wählen und starten - viel Glück!

Wir haben verschiedene Dateien bereit gestellt, damit Menschen mit z.B. Archiven nicht so ewig warten müssen, bis die Dateien wieder brauchbar sind.

scareuncrypt.exe -> Für Systeme mit wenig Arbeitsspeicher, arbeitet recht langsam.
scareuncrypt32K.exe -> Für Systeme mit mehr Arbeitsspeicher, arbeitet mäßig schnell.
scareuncrypt512K.exe -> Für Systeme mit viel Arbeitsspeicher, arbeitet sehr schnell.

Einfach einmal ausprobieren.
WICHTIG: KEINE HAFTUNG FÜR EVENTUELLE SCHÄDEN.
DIE ANWENDUNG GESCHIEHT AUF EIGENE GEFAHR HIN.
BITFOX Ltd. & Co. KG
Oliver Lenz
Postfach 102523
45025 Essen
Willkommen - Im Ruhrgebiet zu Hause

BITFOX 30.04.2012 13:49
Hallo,

habe heute bei einem Emergency-Call wohl die "nummer Drei" sehen dürfen:

Im Gegensatz zu der Variante mit 4 Buchstaben nach der Extension scheint der "große Bruder" 6 stellen nach der Extension zu nutzen (locked-datei.ext.123456) und geht geringfügig anders vor:
Er besitzt 3 Blöcke zu 4K bzw. 6 Blöcke zu 2 K am Anfang der Datei.


BlockA ist wie gehabt zu entschlüsseln.

BlockB low ist BlockA low xor BlockB low.
BlockC high ist BlockA high xor BlockB high.

BlockB high und BlockC low scheinen unverändert.


Der Bildschirm hat sich etwas geändert:
Es handelt sich neuerdings um ein kostenpflichtiges Update von TrueCrypt...

Die italiensichen Kommentare im Programmheader und die schlechte Grammatik sind immer noch gleich.

Hab den neuen "Kumpel" auch mal mit in mein Programm gepackt.
Für Win7 und XP arbeitet die "Schlüsselsuche" allein - man benötigt dort also keine 2 Dateien mehr.

markusg 30.04.2012 15:24
@BITFOX
kannst du mir die variannte zur verfügung stellen?

BITFOX 30.04.2012 15:32
Hey Markus -


von Nummer drei kann ich dir leider nur noch die "Auswirkungen" präsentieren -
da hatte sich schon wer am System versucht... :-(
Das einzige was ich noch finden konnte, waren Einträge in der Registry:
Der Shell-Eintrag vom Explorer ware mal wieder verdreht worden.

Die Nummer zwei kann ich dir Mittwoch geben, wenn ich wieder in der Firma bin.

Hab ausserdem grade mal getestet -
Unter 2K3, Win7, WinXP läufts fehlerfrei ohne zwei Schlüsseldateien und automatisch.
Unter 2K8 und 2K werde ich das ganze dann ebenfalls am Mittwoch testen.

ScareUncrypt-Download.

Computerede 03.05.2012 14:50
Zitat:
Zitat von matkuni (Beitrag 823417)
Wie heißt eine der verschlüsselten Dateien beispielsweise?
Wie lautet die genaue Fehlermeldung?
Mit welchen zwei Dateien (Pärchen) versuchst du den Schlüssel zu generieren? (am besten als Zip-Archiv an die Antwort anhängen)
Hi

Mir hat dann das Tool ScareUncrypt geholfen (http://www.trojaner-board.de/114548-...e-dateien.html).
Als Datei habe ich zwei verschiede Windows Wallpaper benutzt, einem dritten wollte ich dann keine Chance geben. Beim ScareUncrypt konnte gleich von Anfang an ein Schlüssel erstellt werden und alle Dateien konnten wieder entschlüsselt werden.
Danke eurem Forum :applaus::applaus:

Gruß Ede

djbodo 04.05.2012 13:02
Hallo Bitfox.
da ich keine alt/neu-Dateien habe. bzw. es damit mit decrypthelper leider nur bei txt-dateien gefunzt hat habe ich jetzt dein Tool verwendet. Leider fkt. es bei mir auch nicht viel besser:
txt ok
pdf oben verscrambelt
docx nur ein paar wilde zeichen

Please help!

Nusshund 04.05.2012 16:27
Hallo Bitfox,
auch bei mir nur Datenmüll bei "jpg" Dateien mit und ohne eigenen Dateien

markusg 04.05.2012 16:43
kannst du mir mal das sample schicken, mit dem du dich infiziert hast, es gibt welche, wo das mit den paaren nicht mehr funktioniert
schau mir das dann mal an, nenne in der mail, deinen nutzernamen
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.

auch in zukunft, unbekannte mails mit anhang weiterleiten.

Nusshund 04.05.2012 16:59
Hallo Markus,

hast von mir vorhin schon per Mail bekommen ;o) kanntest es aber leider schon.

markusg 04.05.2012 17:00
sag mir mal deine mail adresse per privater nachicht.

markusg 04.05.2012 17:03
hi, du bist wie gesagt einer der glücklichen mit dem trojaner, bei dem es mit paaren nicht mehr klappt.
abwarten und tee trinken heißts da.
und natürlich mails weiterleiten, sodas wir schnell reagieren können

Nusshund 04.05.2012 17:23
naja zum "glück" bin es ja nicht ich sondern kundschaft von mir, aber böse ist es trotzdem. hatte vorige woche 2 Rechner da hat es wenigstens noch geklappt ;)

markusg 04.05.2012 17:25
ja, und da die leute uns das leben nicht einfacher machen wollen, haben sie das schnell geendert :p
wie gesagt, hoffnung nicht aufgeben, das teil gibts ja erst seit gestern, und es wird drann gearbeitet vllt haben wir bald wieder was im angebot

maas1337 04.05.2012 20:27
Hey Bitfox, habe mit deinen Tool den ersten Erfolg unter Vista erzielt, kein weiteres Tool hat den Schlüssel generieren können.

Jedoch läuft dein Programm noch recht instabil.

Wenn man ganz C:\ entschlüsseln will, legt er anfangs gut los und springt dann auf "Keine Rückmeldung"

Manchmal sagt er auch "Dateizugriff verweigert".

Wäre schön wenn du diese Probleme irgentwie beheben könntest, damit ich weitere Bereinigungen durchführen kann und nicht jedes Verzeichniss auswählen muss.

Gruß Maas1337

BITFOX 05.05.2012 11:48
Hallo,

das mit dem "Dateizugriff verweigert" ist eine Macke bei Win7 auf Grund der neuen Berichtigungsstrukturen in den Verzeichnissen.

Ich werde nachher mal einbauen, dass das Tool solche Dinge geflissentlich ignoriert.
Auch das Speichermanagement werde ich noch mal durchdenken müssen -
denn zwar ist nun das ScareUncrypt-Tool schneller als andere, aber streikt dann bei Systemen mit wenig Speicher bzw. kann man nicht wirklich sehen, dass es noch arbeitet.
("keine Rückmeldung" bedeutet nur "keine Rückmeldung" - nicht unbedingt gleich, dass er nicht mehr arbeitet.)

Daher hier nun etliche Tools bestehen die alle technisch das gleiche tun, habe ich mich aber darauf verlagert, einen "universellen" Unlocker zu bauen, der Schlüssel ohne ein Zutun von draussen baut -
also wenn mal wirklich gar keine Originaldateien da sind, denn es scheinen etliche genau das Problem zu haben, was ich schon mal angesprochen habe:
Da wurden verschiedene Schlüssel auf der Platte benutzt, was im ersten Augeblick dagegen spricht, dass der Schlüssel aus fixen Systemdaten generiert wird.
Ob das nun mit verschiedenen Laufwerksnamen oder Einschaltzyklen zusammen hängt, lässt sich nicht so wirklich ausmachen.
Ich persönlich gehe immer noch davon aus, dass irgend ein INode als Komplement genutzt wird.


Whatever. So lange es ein simples XOR bleibt scheint es mir, als hätte ich da derweil einen Weg.

Nur leider ist meine Freizeit im Moment etwas rar gestrickt, weil ich zwischen Stuttgart, Frankfurt, Essen und Hamm herum gondel.


Apropos neue Seuche: Geht es da um den neuen Typen den ich hier neulich schon beschrieben hatte? 3x2 Blöcke a 2K bzw 3x4K? Wenn nicht: Wenn mir mal jemand das noch neuere Biest schicken kann, wäre nett.


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:03 Uhr.
Seite 1 von 10 1 23 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131