Problem mit verschlüsselten Datein nach Scareware

Unregistriert · 25. April 2012

ich hab das Problem das mein Vater sich beim lesen von Firmenmails einen Virus ähnlich des GEMA oder BKA Viruses eingefangen hat. Ganz kurz, Email mit irgendwelchen Rechnungen, Zip Datei im Anhang, kaum wurde die ZIP Datei entpackt ploppte ein Bildschirm von wegen rechtswiedrigen Zeugs gefunden bla bla bla, das was man so kennt. Ich hab den PC ausgemacht, mit Linux Live CD die Festplatte auf Viren gescannt und entfernt. Der PC ist perfekt gestartet, Registry gecleant usw. Das Problem ist jetzt das alle Datein ungefähr so heißen: "locked-Scan0017.jpg.lmjn". Das sind unter anderem sehr sehr sehr wichtige Dokumente, Bilder etc welche unbedingt gerettet werden sollen. Hat da jemand eine Lösung für mich? Ich hab bereits versucht so eine Datei umzubenennen aber sie scheint danach beschädigt zu sein also ist sie warscheinlich verschlüsselt
Danke für die Hilfe schonmal, wär super wenn jemand weiß wie ich das wegbekomme.

PS: Google wollte mir leider nicht helfen, zumindest nicht mit meinen Stichworten

Unregistriert · 25. April 2012

...Das Problem ist jetzt das alle Datein ungefähr so heißen: "locked-Scan0017.jpg.lmjn".
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Der Rechner ist komplett neu aufzusetzen und wenns kein Backup der nunmehr verschlüsselten Dateien gibt, habt ihr wahrscheinlich Pech gehabt.

Es gibt zwar bereits Versuche, das wieder zu entschlüsseln, aber viel Hoffnung würde ich mir da nicht machen.
Trojan.Encoder - die neue Gefahr - Trojaner-Board
Trojan.Encoder - HDD in Gefahr - Trojaner-Board
verschlüsselungs-trojaner - Trojaner-Board
sie haben sich mit einen windows-verschlüsselungs trojaner infiziert - Trojaner-Board

Unregistriert · 25. April 2012

Danke dir... ich hoffe es gibt bald ein Entschlüsselungstool

Unregistriert · 26. April 2012

So,

wir hatten das Problem auch gerade im Netzwerk.
Ich kann nichts zu dem direkt betroffenen Rechner sagen, der wird halt plattgemacht. Aber es waren freundlicherweise zigtausende Dateien im Netz "verschlüsselt".
Es wird schlicht und einfach der erste 4096-Byte-Block jeder betroffenen Datei per XOR verschwurbelt. Der Key ist vermutlich Opferspezifisch, aber keine Ahnung. Hier ist ein Quick & Dirty Perl-Script zum Wiederherstellen der Dateien. Aufruf: xor.pl <Dateinamen>. Es werden nur Dateien, die auf das Muster locked-*.???? passen verarbeitet. Es geht z.B.:
(wenn es als xor.pl gespeichert ist)

find -iname 'locked-*' -exec xor.pl {} +

!!!ACHTUNG ACHTUNG ACHTUNG!!!
Die Dateien werden an Ort und Stelle verändert. Stimmt der Key nicht, ist das "nicht gut"... Also testet das Ganze erstmal an einer Kopie!

Das Script wurde ausschließlich unter Linux getestet, keine Ahnung, ob es unter Windows ebenso funktioniert. Aber vielleicht hilft es ja dem einen oder anderen. Das Script enthält "unseren" Key. Er muss wahrscheinlich angepasst werden.
Zur Ermittlung des Keys wird von einer beliebigen Datei mit mindestens 4096 Byte Größe die "locked-" und Originalversion benötigt. Der Key ist das Ergebnis aus (Original XOR Müll) der ersten 4096 Bytes.

Habe nicht mehr Zeit, das besser aufzubereiten, freue mich aber, wenn daraus am Ende ein allgemeines Tool entsteht, was ich hiermit in Eure Hände lege

Code:

#!/usr/bin/perl

use strict;
use vars qw($key $len $buf);

$key = join '', map {s/\s*//g; pack 'H*', $_} <DATA>;
close DATA;

foreach my $f (@ARGV) {
    my $org = $f;
    $org =~ s/locked-(.*)\.[a-z]{4}/$1/i or next;
    print "$f => $org\n";
    if (open F, "+<$f") {
	$len = sysread(F, $buf, 4096);
	sysseek(F, 0, 0);
	syswrite(F, $buf ^ $key, $len) if $len;
	close F;
	rename $f, $org;
    }
    else {
	print "Konnte $f nicht öffnen!\n";
    }
}

__DATA__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tazze · 26. April 2012

Hallo und guten Abend.

absoluter Hammer! Ich komme gerade von nem Kunden, der sich das Teil eingefangen hat. Alles nicht mehr lesbar. Noch schlimmer: auch die externe Festplatte, die die Datensicherung enthält, ist ebenso infiziert und die Dateien sind aktuell unbrauchbar.

Zwei Fragen:
1.)
was mache ich mit dem o.g. Script? Ich kenne mich mit Linux nicht aus, habe nur Windows-Rechner. Könnte hier evtl. jemand mit ner kleineren Anleitung weiterhelfen?

2.)
Wie kann man sich davor schützen? Beim Kunden ist Avast Pro im Einsatz, bezahlt, aktuell - und trotzdem....
Von welchem Scanner wird das Teil überhaupt erkannt?

Ich kenne auch leute, die etwas größere Netze haben, wenn das Ding sich verbreitet, dann mal gute Nacht. Es scheint sich auf alle Laufwerke auszubreiten, die erreichbar sind, unabhängig davon, ob per Netzwerk angeschlossen (NAS, per Freigabe) oder per USB-Platten.

Wäre schön, wenn dieser Thread weiterverfolgt wird, und evtl. auch ne Lösung für Windows daraus wird.

Tausend Dank!!!!!

Tazze

BdMdesigN · 26. April 2012

www.trojaner-board.de/thema/verschl%FCsselungs-trojaner.html

Dort wird auch schon Fieberhaft an einer Lösung gearbeitet.

MfG

Peter

Unregistriert · 27. April 2012

perl-skript funktioniert prima, danke!

tazze · 27. April 2012

Hi, ich würde das Script gerne mal ausprobieren.
Habe gesehen, dass es perl auch für Windows gibt.
Habs mal installiert.
Habe dann das Script von dieser Seite via Zwischenablage und Notepad als xor.pl abgespeichert.
Perl wurde unter c:\perl installiert.

Was muss ich noch tun, damit ich das Script mal testen kann?

Tausend Dank!

Tazze

BdMdesigN · 27. April 2012

Mach mal ein Doppelklick auf das Script.
http://bei-priess.de/computer/perl/install.php

MfG

Peter

Da GuRu · 27. April 2012

Ganz frisch ein neuer Decrypter:

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Seite 7 - Trojaner-Board

BdMdesigN · 27. April 2012

Danke Da GuRu.

MfG

Peter

Unregistriert · 27. April 2012

Wie DaGuru schon geschrieben hat, gibt es inzwischen auch ein benutzerfreundliches Tool
Damit denke ich sollten sich weitere Fragen zur Benutzung des Scripts erledigt haben, ich wollte es gestern nur schnell als Anhaltspunkt teilen.
Wünsche dann mal allen möglichst wenig weiteren Bedarf an der einen oder anderen Variante und nen schönes langes WE

Unregistriert · 27. April 2012

Danke für das Perl Script. Hat mir ne Menge Zeit gespart da das Java-Tool vom Trojaner Board pro Verzeichnis laufen muss. Zumindest derzeit noch ..

Das Script läuft einwandfrei innerhalb einer Cygwin Umgebung auf Windows über alle Laufwerke die gemapped sind. Der call musste allerding angepasst werden weil perl sonst nicht funzt :

find -iname 'locked-*' -exec perl xor.pl {} +

natürlich vorweg die crypt Daten einfügen passend zum Rechner. Dafür kann man klasse das Java-Tool nutzen.

Dr. Web ist nach wie vor am basteln. Denke mal dass Perl-lose Opfer noch ein paar Tage warten müssen .. bei meiner Kundin waren es "nur" 19222 Dateien in 460 Folders Also harte Arbeit mit dem Java-Tool (derzeit).

wie gesagt. Danke.

Da GuRu · 27. April 2012

@unreg1

Danke für das perl skript.

@unreg2

danke für deine anmerkungen.

welche Version des Java-Tools benutzt Du?

Es gibt mittlerweile 0.5 Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Seite 20 - Trojaner-Board

zusätzlich hat Avira auch was rausgebracht: Avira Ransom File Unlocker - Trojaner-Board

Unregistriert · 27. April 2012

oh .. sieh an. Ich bin bei 0.3 oder so ausgestiegen Das Perl-Script sah mir besser aus.

Dann mal ran. Wenns nun auch in die Tiefe geht sollte wohl das Java-Tool die bessere Wahl sein. Aber das Script hat auch geklappt. Von daher ... Alles im Lot und die Fach-Arbeiten der Dame sind auch gerettet.

Problem mit verschlüsselten Datein nach Scareware

Problem mit verschlüsselten Datein nach Scareware

SysProfile Windows Foren

Hardware Foren