|
DgFRzUIOPHJV verschlüsselte Dateien durch Paysafe Trojaner
(https://www.trojaner-board.de/115534-dgfrzuiophjv-verschluesselte-dateien-paysafe-trojaner.html)
DgFRzUIOPHJV verschlüsselte Dateien durch Paysafe Trojaner Moin. Heute hatte ich die erste Bekanntschaft mit einer der neuen Versionen des Paysafe-Trojaners/-Scareware. Ich habe hier und da was dazu gelesen und auch mal ein wenig in die Dateien hinein geschaut (1 PC betroffen / 1 PC sauber) und möchte es hier mal ein wenig zusammen fassen. Es geht um die Version, die die Dateien nach dem Schema DgFRzUIOPHJV usw. verschlüsselt. Dabei geht es nicht um die Versionen, die die locked.xxxxx Dateien erstellt (siehe http://www.trojaner-board.de/114548-...tml#post830239). Was ich bis jetzt herausgefunden habe: 1) Die Dateinamen sehen auf den ersten Blick wie Base64 kodiert aus. Merkwürdig ist aber, das mir noch keiner mit Zahlen unter gekommen sind. Wenn man einen Text mit Base64 kodiert, sind dort doch schon ein paar Zahlen drin. 2) Die Dateien sind 1:1 Verschlüsselt, weil die Größe von ver- und unverschlüsselten Dateien gleich ist. Habe 12 Dateien von einem Windows XP ..\All Users\Vorlagen Verzeichnis. 3) Die Dateien scheinen zum 100% verschlüsselt zu sein und nicht nur die ersten 4KB. 4) Die Verschlüsselung scheint je nach Datei unterschiedlich zu sein. Denn ich habe 5 verschlüsselte Dateien, von denen ich weiß, das es jpeg's sind. Wenn ich nun xor auf die ersten 14 Bytes mache, um einen Standard Jpeg Header zu bekommen, dann kann ich bei der zweiten Datei mit diesem Schlüssel den Jpeg Header nicht wieder herstellen. Kann das jemand bestätigen, widerlegen oder hat sonst noch etwas heraus gefunden? MfG |
Hi zusammen, mir geht es genau so. Heute das Notebook einer Bekannten bekommen die ähnliche Dateien (meist Bilder, Zip und Office Dateien) hat. Mir ist auch noch das "erstellt am" Datum dieser Dateien aufgefallen. 13. Februar 1601. 09:28:18 Jede Datei die modifiziert wurde hat dieses Datum. Verweise mal auf diesen Thread hier. http://www.trojaner-board.de/115183-...umlauf-11.html Mal sehen ob da was zu retten ist :confused: |
Habe mir heute aus dem Email-Archiv die Zip mit der "Rechnung 16.05.2012.exe" kopiert. Wenn man diese Ausführt, kopiert sie sich an 2 Stellen auf dem System und macht entsprechende Einträage in der Registry (Autostart...) für den nächsten Systemstart. Lustigerweise wurde in der virtuellen Maschine nichts verschlüsselt noch der Bildschirm gesperrt ?!?! Das Ding ist übrigens in Delphi geschrieben. Kann jemand Assembler lesen??? Habe einen Export des "Programms" gemacht... Nachtrag: Mit Netzwerkverbindung startet das Dingens auch in der virtuellen Maschine. Hier mal Zeilen 1-10000 - hxxp://pastebin.com/TVgph9NQ und 10001-18073 - hxxp://pastebin.com/2yH964HZ als Assembler-Dump. Vielleicht hilfts ja jemanden... Mhh, wenn man sich die Exe via Idr (hxxp://kpnc.org/idr32/en/index.htm) ansieht, ist da ein 2915 Byte langer, kryptischer String drinne... http://s14.directupload.net/images/120522/mmxa7skx.png |
13. Februar 1601. 09:28:18 scheint wirklich erstmal die einzige konstante zu sein, quer durchs Web, is bei mir auch so. Dateigröße ist identisch. Diverse MP3 können durch anhängen der extrention .mp3 wieder zum leben erweckt werden, somit scheint es doch nicht 100% verschlüsselt zu sein oder? |
Zitat:
|
Bezüglich der Verschlüsselung: Bei .jpg Dateien kann ich in unserem Fall sicher sagen, dass es lt. Oketa (Hex Editor für die Pinguinzucht) nur bis zur Adresse 0000:3000 zu Änderungen kommt, ab da an ist alles beim Alten. Beispielbild genommen, alles bis 0000:3000 aus intakter Datei kopiert, in Defekter überschreibend eingefügt und die Windows 7 Blumenzucht bewundert. Btw. gehe ich mal davon aus, dass dieser Thread sich auf die von Dir beschriebene Variante bezieht. Sind ein paar tolle Denkansätze bei, leider aber auch noch keine Lösung. http://www.trojaner-board.de/115183-...te-umlauf.html . |
hallo fdy, dass die ersten 12k verschlüsselt werden ist bekannt. Das Überschreiben dieses Bereiches einer verschlüsselten Datei mit den ersten ersten 4k eines Originales muß zwangsläufig zu einer "gesunden" Datei führen. Das hilft nur wenig, wenn ich das Original habe, kann ich das unbrauchbare auch vernichten. Solche Versuche habe ich auch gemacht. Allerdings habe ich die ersten 4k einer x-beliebigen Datei (JPG, PDF, DOC) genommen und in eine entsprechende verschlüsselte Datei eingefügt. Das wäre was gewesen. Allerdings kam dabei auch nur Müll raus. Gruß Volker |
Huhu Undertaker, wie ich mit breitem Schmunzeln feststellen darf gehen wir alle aktuell mit ziemlich ähnlichen Lösungsansätzen an dass Problem heran. Folglich leider auch mit ähnlichem Mißerfolg. Da die ganze Sache doch relativ komplex ist, wäre es fein, wenn es irgendwo ein Post geben würde, wo das gesammelte Wissen fix zusammengetragen wird von jemandem der bereits tief und fundiert mit dem "Mistvieh" arbeitet. Nach 29 Seiten im anderem Thread ist jede Menge Wissen so wahnsinnig breit gestreut, dass ich zugebe langsam vor lauter Input ein bisschen die Übersicht zu verlieren. Evtl. würde per Sammlung doch noch der Groschen fallen, der die Lösung bringt., leider fehlt mir die Zeit soetwas aufzustellen. Evtl. fühlt sich ja jemand genötigt einmal einen Status Quo in Stichpunkten / Tabelle auf die Beine zu stellen. |
Ja, die Unübersichtlichkeit in den Diskussionsforen habe ich auch schon kritisiert. Nur wer will's den Leuten verdenken, wenn sie aus Angst und in Hektik überall nach Hilfe rufen, egal ob es in die Boardregeln passt oder nicht. Insofern wird ein neues Theme mit einer Zusammenfassung der bisherigen Möglichkeiten nicht lange übersichtlich bleiben. |
die ersten 12K jeder Datei (außer Direktory) sind auch bei mir verschlüsselt XOR gegenüber Backup-Datei liefert bei jeder Datei andere XOR-Werte die Anzahl Bytes und das Datum sind unverändert Vielleicht verwendet der nicht XOR. Mit diversen Dateiwiederherstell-Programmen habe ich nach gelöschten Dateien gesucht, auch ohne Erfolg, sieht so aus, als ob der Trojaner direkt in die Datei rein geschrieben hat. Der Tronajer hat 3 zusätzliche Dateien angelegt: Ordner C:\Dokumente und Einstellungen\%username%\Lokale Einstellungen\Temp 24F73BA6303943500031.$$0 708KB 24F73BA6303943500031.$02 1.62MB 24F73BA63039435000315247 1KB (ohne Extension, war gelöscht) Alle 3 Dateien sind exakt zum Zeitpunkt des Trojaner-Starts erstellt worden. Vielleicht steht da irgendwas brauchbares drin. Die Datei ohne Extension könnte den Schlüssel enthalten, die anderen beiden vielleicht Namen und Schlüssel. Wenn ich den Schlüssel mit XOR drüber lege, sehe ich aber bisher auch nichts sinnvolles. Weiter oben in diesem Thema stand: Wissen zusammenfassen Gute Idee: Ich bin dabei. |
Zitat:
__in ALG_ID Algid, // 0x00006801 Nach MS ist der ALGID 0x00006801 = RC4. Dabei wird für jede Datei ein eigener Schlüssel generiert. Zitat:
Zitat:
In der $02 stehen die Informationen zu den verschlüsselten Dateien. Originalname - Verschlüsselungsname - Schlüssel werden dort als String hinterlegt. Zitat:
Volker |
Hallo gibt es mittlerweile ein tool zum decodieren des neuen Verschlüsselungs Trojaners? Ich habe mir Die neue Version mit dem DgFRzUIOPHJV eingefangen! Habe das System win7 neu aufgesetzt da System auf sdd läuft! Leider sind alle Dokumente und Bilder auf separater Festplatte verschlüsselt! Hat schon einer irgendwie die Daten wieder Retten können? Shadow war auf der Festplatte nicht aktiv! Mfg Rudi |
Zitat:
dann stöber hier mal etwas in den einschlägigen Foren, dann wirst Du erkennen was geht und was nicht. Volker |
Gelesen hab ich schon viele Threads aber nix hat bisher geholfen:crazy:. da ich ja die viele Buchstaben Verschlüsselung habe und nicht wie die Vorgänger mit Lock.xxxx und so was! |
Zitat:
Gib doch mal paar mehr Infos. Volker |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:37 Uhr. |
Copyright ©2000-2025, Trojaner-Board