XRTN Ransomware Bekämpfung
 

Hallo Leute,

Da ich hier neu bin, kann ich leider nicht direkt bei den anderen Threads antworten, sondern muss diesen neuen aufmachen. Naja, vielleicht können wir ja hier Informationen sammeln. Es geht um die Ransomware, die alle Dateien verschlüsselt und als ".xrtn" ablegt.

Ich bin zwar eigentlich Programmierer, aber weil mein Chef sich diese Malware eingefangen hat, hab ich mir mal seinen Computer näher angesehen. Zum ersten haben wir zusammen die Ursache gefunden: ein böser JavaScript code (https://gist.github.com/anonymous/b60ff3e4562c0ad0a1c9). Na gut, den habe ich also mal ein bisschen Kommentiert, um zu sehen was er genau macht: https://gist.github.com/anonymous/106f832b42c23e58ea17.

Das JavaScript lädt also ein paar Dateien von einem Server herunter:

• Do_88u.css, was in Do_88u.docx umbenannt und geöffnet wird
• design.css, was in gpg.exe umbenannt wird
• br.css, was in dsfsdghd.bat umbenannt und ausgeführt wird

Mein Chef hat kein Word installiert, also hat das öffnen des Word-Dokumentes nichts bewirkt. Ich kann mir aber gut vorstellen, dass mit dem Wort-Dokument ein paar Makros installiert werden, die dafür Sorgen, dass sich die Malware fortpflanzt (bei uns kam sie als Anhang an, der eigentlich ein Wort-Dokument sein sollte).

Interessanter wird es bei der BAT Datei. Diese sieht (ein wenig optisch aufgebessert) so aus: https://gist.github.com/anonymous/4fb6f41df65b47dc5421. Ich habe mir die nur flüchtig angesehen, aber im Prinzip erreicht sie folgendes:

1. Dateien werden verschlüsselt
2. Legt ein paar Dateien in %TEMP% an, die per Registry in den Autostart kommen, damit die Zahlungsaufforderung am Start angezeigt wird

Das interessante liegt beim verschlüsseln, denn: die Malware nutzt asymmetrische verschlüsselung mittels GPG. Bei der asymmetrischen Verschlüsselung gibt es ja zwei verschiedene "Passwörter" zum verschlüsseln, und das nutzt sie folgendermaßen:

• Sie bringt einen Public Key mit, dessen Private Key nur die Script Kiddies besitzen, die die Malware geschrieben haben
• Sie legt ein neues Public (verschlüsseln)/Private (entschlüsseln) Keypaar mit gpg.exe an
• Sie verschlüsselt alle Dateien mit einer bestimmten Endung mit dem public key mit gpg.exe
  und legt sie als dateiname.xrtn ab
• Sie verschlüsselt den Private Key (den man zum entschlüsseln bräuchte) mit dem mitgebrachten Public Key

Ergo müsste man zum entschlüsseln den verschlüsselten Private Key an die netten Scammer schicken, die ihn dann entschlüsseln könnten.

Meine Idee war folgende: wenn das Keypair erst auf dem System generiert wird, muss es ja irgendwann mal auf der Festplatte gelegen haben. Die Malware löscht den ja auch nicht sicher, und Dateisysteme wie NTFS überschreiben inodes, die zu gelöschten Dateien gehören, ja nicht direkt. Also habe ich Linux gestartet, und die Festplatte nach ungenutzten inodes durchsucht, die aussehen wie ein Key, habe aber leider (noch) nichts gefunden.

Meine Fragen sind:
@riesel: wie viel musstest du bezahlen?
@DHa: kennst du dich ein bisschen mit Linux aus? Dann könntest du das selbe versuchen, was ich probiert habe, vielleicht klappt es ja.
@all: hat sonst noch jemand Ideen/Tipps, was man machen könnte?

Ich habe ein komplettes Image der Festplatte und ein paar andere Dateien herausfischen können, die interessant aussehen, unter anderem den Public Key. Die benutzen nur RSA mit 1024 bits!

Hallo,

wir hatten diesen Trojaner auch.
Einige von den Dingen die du beschreibst konnte ich auch bei der ersten Durchsicht des Trojaners erkennen. Interessant finde ich, dass es den eigenen Private Key auch kurze Zeit unverschlüsselt auf der eigenen Festplatte gab.
Konntest du herausfinden an welcher Stelle er gelöscht wird oder wo er überhaupt standardmäßig abgelegt wird?

*EDIT*
Zitat von Bleepingcomputer:
The batch file will then execute the cipher /w command on every drive letter in order to overwrite free disk space so that you unable to use file recovery tools.

Das passiert nachdem der Privkey verschlüsselt wurde.


Gruß
Maizey

Hallo,
ich wollte den alten Thread mal wiederbeleben, um eventuell etwas zur Lösung des Problems beitragenzu können (natürlich nicht ganz uneigennützig, da ich hoffe so die Daten meiner Freundin wieder entschlüsseln zu können):

Hier hat die Ransomware auch zugeschlagen (kam übrigens aus einer Bewerbung mit einwandfreiem Deutsch) und wurde zum Glück entdeckt und entfernt, bevor alles verschlüsselt wurde.

Ich habe noch die Dateien gefunden, die erstellt wurden, bevor die meisten .xrtn-Dateien zuletzt geändert (also verschlüsselt) wurden.

Vielleicht kann ja jemand was damit anfangen.

Viele Grüße

Seavers

Sieht leider sehr schlecht aus: XRTN Ransomware uses Batch Files to Encrypt your Data

"Unfortunately, at this time there is no way to decrypt the files for free without first obtaining the master private decryption key, which is known only by the malware developer. As this is not likely to happen any time soon, the only options are to restore your data via backup."