Verschlüsselungs Trojaner

[kiff]

Hallo,
meine Freundin hat versehentlich den Anhang einer tollen eMail geöffnet, kurze Zeit Später fuhr der Rechner runter und sie sollte ein Code Eingeben den sie nach der Überweisung von X Euro bekommen würde...

Telefonisch hab ich ihr nur den Rat geben können einen Kaspersky Notfall CD zu verwenden, das hat soweit auch funktioniert, allerdings sind ein paar Dokumente nicht entschlüsselt worden..

Die Tools die ich bisher gefunden hatte, hatten keinen Erfolg den Key zu finden (bei angabe der original und der verschlüsselten Datei). Denke mal das das Teil recht neu ist..

Gibt es schon aktuelle Lösungen für die Verschlüsselungstrojaner?

Gibt es evtl. eine Möglichkeit über Brutforce daran zu kommen?
Was für ein Tool könnte da funktionieren?

 

[TigersClaw]

Es gibt keine Möglichkeit an den Schlüssel zu kommen. Die Dateien sind 1024 Bit AES verschlüsselt, viel Spass beim decrypten.

 

[kiff]

ja den hätte ich ja gerne, die Frage ist womit?

 

[TigersClaw]

Mit garnichts. Der Schlüssel ist nicht in den verschlüsselten Dateien gespeichert, so wie es bei früheren Versionen des Trojaners der Fall war. Schreib die Dateien ab, Du kommst nicht mehr dran.

 

[astor27]

Hallo
System neu aufsetzen oder ein Backup aufspielen ( was man immer haben sollte , wer keines hat wird dafür bestraft )
Ps. versehentlich kann man kein Anhang von einem Mail öffnen.
mfg

 

[Dragon45]

Warte mal ich suche gerade was!!!

Ok guck dir das mal an!!

http://www.youtube.com/watch?v=Z1irybtZy4M

Falls es wirklich dieser Virus ist, wird im Anschluss die Entfernung gezeigt! Aber das ist noch nicht alles den der Virus verschlüsselt die privaten Daten.

Um diese zu entschlüsseln brauchst du dieses Video

http://www.youtube.com/watch?v=OQyqSpqpgjI&list=UUCI6C8hD-hTZi2JEmS7zvQw&index=1&feature=plcp


Ich hoffe für dich und deine Freundin das es dieser ist und du ihn mit der entsprchenden Hilfe entfernen kannst. Ansonsten bleibt nur noch Platt machen oder Backup einspielen übrig.

 

[astor27]

Glaube ich zwar nicht aber ein versuch wert

 

[Phantom2k]

Probier mal den shadowexplorer, damit kannst du schattenkopien der verschlüsselten dateien wiederherstellen, das ist im moment die einzigste möglichkeit beim "neuen" verschlüsslungstrojaner

 

[Dragon45]

Allerletzte Möglichkeit wäre eine Brute Force Attacke. Ich würd mir da aber nicht all zu große Hoffnung machen sind im Schlüssel mehr als 8 Zeichen (Klein/Großbuchstaben/Zahlen)

brauchst du mehr als 74 Tage je nach dem vll haste Glück oder Pech. Jedenfalls brauchst du ne Potente Rechenmaschine.

Quelle: http://www.1pw.de/brute-force.html

http://www.chip.de/downloads/Proactive-Password-Auditor_13011626.html
Das Programm hab ich noch nicht ausprobieren müssen und ich weis auch nicht im geringsten ob es funktioniert und in wie weit die Kostenlose Demo eingeschränkt ist.

 

[Simpson474]

Wahrscheinlich gibt es gar kein Passwort, sondern wirklich nur den AES-Schlüssel. Dieser hat mindestens 16 Zeichen (128-Bit) und maximal 128 Zeichen (1024-Bit) - Brute-Force kannst du hier komplett vergessen. Die einzige Möglichkeit ist es, den Trojaner per Reverse-Engineering zu analysieren: dieser Vorgang ist jedoch extrem komplex und aufwändig - jetzt zeigt sich mal, ob einer der Antivirenhersteller das Geld nicht nur in Werbung, sondern auch in Fachpersonal investiert.

Was ich nicht verstehe, für alles gibt es hier auf ComputerBase eine News - sogar wenn ein japanischer Netzteilhersteller mit unaussprechlichen Namen ein rein für den japanischen Markt bestimmtes Netzteil vorstellt. Wieso wird hier nicht mal eine News verteilt, dass der BKA-Trojaner jetzt wirklich gefährlich geworden ist: die Vorgänger haben einen unglaublichen Verbreitungsgrad und noch viel schlimmer, die Virenscanner waren bisher absolut machtlos gegen die Entwickler des Trojaners.

 

[kiff]

besten Dank für die Antworten!
leider ist es ein anderer, keine Dateiendungen mehr, konnte nur feststellen das die dateien teilweise nicht ganz verschlüsselt sind, sonder nur die ersten bytes. Bei txt Dateien mag das egal sein, aber alle anderen sind verloren.

Bei den Schattenkopien bin ich schon fündig geworden, bei einen Teil der Daten waren sie aktiv, aber bei einem anderen Teil leider nicht.

Werde die Daten mal behalten, vielleicht gibt es da in Zukunft einen Weg für wie bei dem alten.
Nebenher schadet es sicher nicht den Brutforce anzuschmeißen

Der Screenshot sah etwa so aus:
http://www.google.de/imgres?q=verschl%C3%BCsselungs+trojaner&hl=de&biw=1261&bih=915&gbv=2&tbm=isch&tbnid=Q5Jq7EVP-HiVSM:&imgrefurl=http://www.heise.de/newsticker/meldung/Kriminelle-locken-mit-gefaelschten-Rechnungen-in-die-Virenfalle-1566365.html%3Fview%3Dzoom%3Bzoom%3D4&docid=f7bHHPVy--a3PM&imgurl=http://www.heise.de/imgs/18/8/3/4/5/3/5/Windows_7_Ultimate_SP1-2012-05-03-14-40-50-5d9065488bcfeb4c.png&w=800&h=600&ei=TFLKT_C-FofcsgawtbSRBw&zoom=1&iact=rc&dur=254&sig=112542433131876395996&page=1&tbnh=122&tbnw=163&start=0&ndsp=28&ved=1t:429,r:3,s:0,i:76&tx=74&ty=67

 

[Dragon45]

die Virenscanner waren bisher absolut machtlos gegen die Entwickler des Trojaners.

SIE SIND ES IMMER NOCH und warum? Ganz einfach was ist an einer Datei die z.B. den TaskManager und die Registry sperrt + "Content" aus dem Internet läd gefährlich? Garnichts das kann auch ein harmloses Admin tool sein der "Content" der aus dem Internet kommt von diversen Seiten ist das gefährliche.
Bei Youtube/SemperVideo gibt es auch ein Video wo gezeigt wird von welchen Seiten dieser "Content" geladen wird und wie man sie erfolgreich sperrt (also die Seiten bzw. das ansurfen der Seiten).

Damit das in Zukunft nicht passiert sind hier schon mal ein paar Seiten die gesperrt werden können.

127.0.0.1 qoa-a.com
127.0.0.1 horad-fo.com
127.0.0.1 spatbe-w.com

Das trägst du in die Host-Datei ein die lokalität wird in YouTube gezeigt Hier + Anleitung (YouTube Link)

oder auf C:\Windows\System32\drivers\etc\hosts
diese mit Notepad und Adminrechten öffnen hinein kopieren abspeichern fertig

 

[Simpson474]

Wieso warnen alle dämlichen Internet Securities bei jeglichen Netzwerkzugriffen, so dass spätestens nach zwei Tagen alle Anwender sowieso alle Anfragen akzeptieren: ich kenne jedoch keine Internet Security, welche bei veralteten Browser-Version bzw. Browser-Plugins mit Sicherheitslücken warnt (Mozilla blockt immerhin angreifbare Plugins, ist aber der einzige Browser mit dieser Funktion) oder aber z.B. eine Meldung ausgibt, wenn ein Programm startet und z.B. den Taskmanager blockiert (macht kein seriöses Programm) oder sich als Autostartelement in die Registry einträgt (an manche Stellen, die der BKA-Trojaner verwendet hat, trägt sich ebenfalls kein seriöses Programm ein und normale Autostarteinträge und die damit verbundenen Meldungen sollten sich auch in Grenzen halten). Für mich ist dieses Vorgehen der Hersteller absolut unverständlich - ich bin sowieso der Meinung, dass die Hersteller mehr Geld in die Werbung als in die Entwicklung stecken.

127.0.0.1 qoa-a.com
127.0.0.1 horad-fo.com
127.0.0.1 spatbe-w.com

Und die nächste Version des Trojaners verwendet wieder andere Server - ist ebenfalls ein ständiges Katz- und Mausspiel.

 

[Dragon45]

Um den ganzen Stress das nächste mal zu Vermeiden gibt es diverse Programme!

z.B.
Sandboxie - eine Sandbox in der der Browser geöffnet wird. Schadlinge gelangen so nicht auf´s richtige System
oder die Oracle VM Virtual Box - hier kann sogar ein komplettes System gebootet werden.
oder ganz einfach Linux benutzen das ist gänzlich gefeit vor so einem Müll!

@Simpson474

mit dem Katz und Maus Spiel hast du Recht, aber den TaskManager können auch sogenannte AdminTools speeren (gewollt!) und die machen das genau so wie der Virus auch!
Was kein seriöses Programm macht ist, sich an der USERinit vergreifen da hört der Spass auf und ab da sollte alles geblockt werden!

Was ich nicht verstehe ist, warum gibts du den Internet Securetys die Schuld? Ich geb den Windoof Programmierern die Schuld weil die es seit wie viel 10Versionen nicht hinbekommen VOR der Änderung von Registry-Einträgen oder veränderung von wichtigen System-Datein eine Passwortabfrage einzubauen welche man nicht abschalten kann.
Linux hat das schon längst und fährt damit auch ziemlich gut.

Windoof ist wie ein Bahnhof alles geht rein und raus, meißt ungemerkt und ungesehen.

 

[Simpson474]

Was ich nicht verstehe ist, warum gibts du den Internet Securetys die Schuld? Ich geb den Windoof Programmierern die Schuld weil die es seit wie viel 10Versionen nicht hinbekommen VOR der Änderung von Registry-Einträgen oder veränderung von wichtigen System-Datein eine Passwortabfrage einzubauen welche man nicht abschalten kann.

Die Benutzerkontensteuerung von Windows Vista/7 kommt dem Linux-Ansatz schon recht nahe - auch unter Linux könnte man zumindest im Zugriffsbereich seines Benutzerkontos alles tun, es gibt nur deutlich weniger Viren, die das wirklich ausnützen. Dies ist wohl auch der Hauptgrund, wieso neuere Versionen des BKA-Trojaners sich nur noch sehr selten in HKEY_LOCAL_MACHINE eintragen, die meisten stecken mittlerweile im Benutzerprofil unter HKEY_LOCAL_USER: hier wäre eine Erweiterung der Benutzerkontensteuerung jedoch sinnvoll, so dass bei neuen Autostarteinträgen gewarnt wird.

Wieso ich die Internet Securites im Zugzwang sehe: die Teile werben damit, dass Internet sicherer zu machen - eine datenbankbasierte Liste von Virensignaturen ist dazu aber schon lange kein geeignetes Mittel mehr, wie man auch schön an der Machtlosigkeit beim BKA-Trojaner sieht. Bei Microsoft bezahle ich ein Betriebssystem - dieses sollte zwar auch sicher sein, dazu zähle ich aber eher die rasche Beseitigung von Sicherheitslücken als die zuvor genannten Punkte.

mit dem Katz und Maus Spiel hast du Recht, aber den TaskManager können auch sogenannte AdminTools speeren (gewollt!) und die machen das genau so wie der Virus auch!

Wobei es hier auch kein Problem sein sollte, für solche Programme eine Ausnahme zu definieren - die Regel ist das Sperren des Task-Managers ja nicht wirklich.

 

[Dragon45]

http://www.youtube.com/watch?v=RzV3fANo3lY&feature=BFa&list=UUCI6C8hD-hTZi2JEmS7zvQw

Minute 2:07 sagt er das. Ich bin der gleichen Meinung.

Wobei es hier auch kein Problem sein sollte, für solche Programme eine Ausnahme zu definieren - die Regel ist das Sperren des Task-Managers ja nicht wirklich.

Ach nein?

reg ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
reg ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f
reg ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit /t REG_DWORD /d 1 /f

abspeichern als xyz.bat
ausfühten im Hindergrund, Dos Fenster unterdrücken und minimiert starten.
und das ist für dich ein Virus? Na gute Nacht! Wie willst du da Ausnahmen definieren? Das sind dazu noch WinBoard Mittel und mit Virtual Basic geht das bestimmt 100mal einfacher.

Da von MS ein update für alle Win Versionen:
"Wer den RegEdit aufruft oder Änderungen an der Registry vornimmt (Egal welcher Schlüssel) muss das Passwort handisch eingeben" fertig. Das simpelst auf der Welt.
Wenn ich eine Datei starte (meinet wegen eine .pdf) und die fragt ob sie was an der registry andern darf würd ich mich ein bissel verarscht vorkommen! Noch blöder allerdings wenn man dann soche Funktionen gleich im Anschluss mit wegklickt "weils lässtig ist" und dann fragen sich die Leute...
Falls ich Beispiel weise ein Spiel installiere sollte man auch das PW eingeben weil ja auch Einträge in der Registry vorgenommen werden. Dazu wünschte ich ein .txt Datei in der ALLE Schlüssel drine stehen die angelegt oder verändert wurden. Nur da sind sich dann die Spieleentwickler zu eitel oder sonst was...

 

[Cybertronic]

Vielleicht hilft die Seite.... besonders Punkt 2 ganz oben im Text

http://www.trojaner-board.de/115183-neue-verschluesselungs-trojaner-variante-umlauf.html

 

[kiff]

Bei Punkt 2 geht es auch um die locked Version.

Mittlerweile konnte wir gut 90% wiederherstellen.
Zum einem durch die Schattenkopien und zum anderen weil wir zum Glück die Daten von
einer Partition auf die andere verschoben hatten, und somit gelöschte Daten wiederherstellen konnten..

Jetzt muss der Rechner nur wieder neu aufgesetzt werden.