Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Verschlüsselungstrojaner (Ransom) - Kein Tool scheint zu helfen...

Frage Sicherheit Viren und Trojaner

Mitglied: anaxagoras83

anaxagoras83 (Level 1) - Jetzt verbinden

28.06.2012 um 11:04 Uhr, 9846 Aufrufe, 23 Kommentare

Wir bekommen in der Werkstatt einige Trojaner zu Gesicht und sehen täglich die mit UKASH-, Gema-, Bundespolizei-, etc. Trojaner infizierten Systeme die bei uns abgegeben wurden. Dieser Verschlüsselungstrojaner ist jedoch ein hartnäckiges Kerlchen.

Hallo alle zusammem,

momentan haben wir in der Werkstatt mit einem Trojaner zu kämpfen, der sich zwar als Ransom Trojaner ausgibt, jedoch weder Dateien mit dem "locked" Flag hinterlässt, noch sich mit den üblichen Entschlüsselungstools der Anti-Malware-Hersteller entschlüsseln lässt.

Wir haben uns von dem Besitzer des Systems alte Bilder auf CDs geben lassen, um einige Originaldateien und die verschlüsselten Daten zu haben, jedoch lassen sich die verschlüsselten Daten mit keinem der offiziellen Tools entschlüsseln.

Die Tools, welche wir bisher probiert haben, stammen aus einer Liste:

http://www.trojaner-board.de/114783-verschluesselungs-trojaner-tools-ub ...

- Avira Ransom File Unlocker
- Tool von Dr. Web
- ScareUncrypt von BitFox
- Trojan.Ransom.HM-Decrypt_v1 (BitDefender)
- RannohDecryptor von Kaspersky
- Trustezeb.A Decryptor von ESET
- Panda UnRansom

Gibt es weitere Erfahrungen mit dieser Malware?
Konntet Ihr die Daten wieder entschlüsseln?

beste Grüße

Anaxagoras83
Mitglied: d4shoerncheN
28.06.2012 um 11:08 Uhr
Hallo,

mal mit diversen Live-CD's versucht? Habe gute Erfahrungen mit der
Kaspersky Rescue Disk 10

Um z. B. auf deinen Bundestrojaner zurück zu kommen. CD rein, booten und Routine durchlaufen lassen. Keine 2min später war der Trojaner weg und das System wieder "sauber". Allerdings sollte man einen kompletten Scan machen, dauert nur ein wenig länger.

Gruß
Bitte warten ..
Mitglied: anaxagoras83
28.06.2012 um 11:12 Uhr
Zitat von d4shoerncheN:
Hallo,

mal mit diversen Live-CD's versucht? Habe gute Erfahrungen mit der
> Kaspersky Rescue Disk 10

Um z. B. auf deinen Bundestrojaner zurück zu kommen. CD rein, booten und Routine durchlaufen lassen. Keine 2min später
war der Trojaner weg und das System wieder "sauber". Allerdings sollte man einen kompletten Scan machen, dauert nur ein
wenig länger.

Gruß

Danke für die Antwort: Der Trojaner existiert nicht mehr auf der betroffenen Kiste, aber alle Nutzerdaten sind verschlüsselt und damit nicht mehr brauchbar. Letztes Backup liegt ewig zurück.

Es geht also primär um die Entschlüsselung der Daten nicht um das entfernen des Trojaners.

Beste Grüße

Anaxagoras83
Bitte warten ..
Mitglied: HubertN
28.06.2012, aktualisiert um 11:22 Uhr
Moin

es kann sein, dass du die A-Karte gezogen hast, da es inzwischen Versionen des Virus gibt, wo eine Entschlüsselung praktisch ausgeschlossen ist.

Interessant dazu vielleicht mal dieser Forenbeitrag dazu: http://www.delphipraxis.net/1169769-post147.html

Gruß

Hubert
Bitte warten ..
Mitglied: DarkTiesto
28.06.2012 um 11:28 Uhr
Der Youtube channel "sempervideo" hat sich ausführlich mit Gema und bundespolizei Trojanern usw. befasst. Im Kanal findest du super Anleitungen wie du damit umgehen musst und auch wie diese Funktionieren.
Ich hoffe es hilft dir.


Mit freundlichen Grüßen
Bitte warten ..
Mitglied: d4shoerncheN
28.06.2012 um 11:34 Uhr
Hallo,

Es geht also primär um die Entschlüsselung der Daten nicht um das entfernen des Trojaners.
Ach so, tut mir Leid. Dann hatte ich das falsch verstanden.

Gruß
Bitte warten ..
Mitglied: anaxagoras83
28.06.2012 um 11:38 Uhr
Zitat von HubertN:

es kann sein, dass du die A-Karte gezogen hast, da es inzwischen Versionen des Virus gibt, wo eine Entschlüsselung praktisch
ausgeschlossen ist.

Das hoffe ich nicht. Habe auch schon gehört - dass der Computername oder die SID in der Verschlüsselung ebenfalls maßgebend ist. Auch das hoffe ich nicht, da das System neu-installiert wurde. Der artikel klingt interessant, jedoch erkenne ich den Trojaner der dort beschrieben wurde, bzw. die Art wie er sich darstellt nicht wieder.
Bitte warten ..
Mitglied: anaxagoras83
28.06.2012 um 11:39 Uhr
Zitat von DarkTiesto:
Der Youtube channel "sempervideo" hat sich ausführlich mit Gema und bundespolizei Trojanern usw. befasst. Im Kanal
findest du super Anleitungen wie du damit umgehen musst und auch wie diese Funktionieren.
Ich hoffe es hilft dir.

Vielen Dank für den Tipp. Hatte schon ewig nicht mehr auf sempervideo geschaut und es ist enorm gewachsen. habe leider keine Antwort auf die Frage der Verschlüsselung finden können. Beste Grüße Anaxagoras83
Bitte warten ..
Mitglied: mrtux
28.06.2012, aktualisiert um 13:04 Uhr
Hi!

Es gibt verschiedene Varianten der Malware, eine versteckt Files nur, die andere Variante verschlüsselt und wieder eine andere überschreibt die Dateien. Vor solcher Malware hilft meist nur Bain.exe (beim Kunden), den Rechner aktuell zu halten (besonders die Browser, Java und Flash) und eine funktionsfähige Datensicherung, denn morgen früh um 9:13 Uhr gibt es schon wieder eine neue Variante, die dann im Extremfall von bis zu 80% der Malwarescanner nicht erkannt werden könnte, wie ich es erst letzte Woche hatte. Bei Virustotal erkannten nur 3 der vorhandenen Scanner den vom Kunden geöffneten Anhang als Malware, obwohl der Kundenrechner, den von solcher Malware bekannten (bzw. einen vergleichbaren) Dialog angezeigt hatte.

Ach ja: Jetzt ist es übrigens auch an der Zeit dem Kunden eine Datensicherung nahezulegen, evt. sogar gleich eine Lösung anzubieten...

mrtux
Bitte warten ..
Mitglied: anaxagoras83
28.06.2012 um 11:50 Uhr
Zitat von mrtux:
Hi!

Es gibt verschiedene Varianten der Malware, eine versteckt Files nur, die andere Variante verschlüsselt und wieder eine
andere überschreibt die Dateien. Vor solcher Malware hilft meist nur Bain.exe (beim Kunden), den Rechner aktuell zu halten

Habe gerade mal kurz nach Bain.exe gegoogelt. Du hast Bain.exe nur als ein weiteres Beispiel eines Wurms genannt, nicht als Tool um das Problem zu lösen (richtig)?

(besonders die Browser, Java und Flash) und eine funktionsfähige Datensicherung, denn morgen früh um 9:13 Uhr gibt es
schon wieder eine neue Variante, die dann im Extremfall von bis zu 80% der Malwarescanner nicht erkannt werden könnte, wie
ich es erst letzte Woche hatte. Bei Virustotal erkannten nur 3 der vorhandenen Scanner den Anhang als Malware, obwohl der Rechner,
den von der Malware üblichen (bzw. einen vergleichbaren) Dialog angezeigt hatte.

Ja mal von Flame ganz abgesehen, der ja 2 Jahre lang nicht erkannt wurde ;(

Ach ja: Jetzt ist es übrigens auch an der Zeit dem Kunden eine Datensicherung nahezulegen, evt. sogar gleich eine Lösung
anzubieten...

Das ist das erste was wir gemacht haben: Acronis TI Home und ne externe 2TB Festplatte.

Soll das bedeuten ich sollte den Versuch die Daten zu entschlüsseln aufgeben oder stetig weiter versuchen mit allen Tools die ich finden kann ( oder ein Crypto-Studium nachholen )?
Bitte warten ..
Mitglied: Phalanx82
28.06.2012 um 12:21 Uhr
Zitat von anaxagoras83:
> Zitat von mrtux:
> ----
> Hi!
>
> Es gibt verschiedene Varianten der Malware, eine versteckt Files nur, die andere Variante verschlüsselt und wieder eine
> andere überschreibt die Dateien. Vor solcher Malware hilft meist nur Bain.exe (beim Kunden), den Rechner aktuell zu
halten

Habe gerade mal kurz nach Bain.exe gegoogelt. Du hast Bain.exe nur als ein weiteres Beispiel eines Wurms genannt, nicht als Tool
um das Problem zu lösen (richtig)?

[OT]

rofl, das jetzt nicht Dein Ernst oder? *rolleyes*

[/OT]


Mit freundlichen Grüßen.
Bitte warten ..
Mitglied: Cthluhu
28.06.2012 um 12:22 Uhr
Hi anaxagoras83,

Ich glaube mrtux meinte brain.exe (http://brain.yubb.de/)

lg

Cthluhu
Bitte warten ..
Mitglied: anaxagoras83
28.06.2012 um 12:37 Uhr
Zitat von Cthluhu:
Hi anaxagoras83,

Ich glaube mrtux meinte brain.exe (http://brain.yubb.de/)

lg

Cthluhu

*g*
OH MEIN GOTT! ich habe wirklich danach gegoogelt und bin erst nach ca. 10 Minuten darauf gekommen. Brain.exe.
Naja .. Okay.

Wir fangen leider nur die Fälle in der Werkstatt ab, die durch das Fehlen der brain.exe auf dem entsprechenden System, eine Infektion des Wurmes zur Folge haben.
Bitte warten ..
Mitglied: mrtux
28.06.2012, aktualisiert um 13:30 Uhr
Hi !

Zitat von anaxagoras83:
Habe gerade mal kurz nach Bain.exe gegoogelt. Du hast Bain.exe nur als ein weiteres Beispiel eines Wurms genannt,

Brain.exe ist ein Programm, dass beim Start dem Kunden per Popup (oder besser noch per 400 Volt Stromschlag) erklärt "Ich muss nicht mit aller Gewalt auf einen Mailanhang mit dem Namen bösergemeinertrojanerdersichalsbraveundsimplezipdateimitangeblichharmloseminhaltverkleidet.zip klicken!" ;-P

Soll das bedeuten ich sollte den Versuch die Daten zu entschlüsseln aufgeben oder stetig weiter versuchen mit allen

Ich weiss ja nicht was ihr in eurer Werkstatt so in der Stunde verlangt aber wenn ihr das Entfernen der Malware als professionelle Dienstleistung anbietet, dann wirst Du da vermutlich keine x Stunden herumbasteln können, denn sonst wird deine Dienstleistung für den Endkunden teurer als ein neuer Rechner samt neuem und funktionsfähigen Windows. Die Frage ist doch, ist der Kunde bereit im Extremfall für seine "Urlaubsbilder" eine drei (oder sogar vierstellige) Summe auf den Tisch zu legen? Und bei den heutigen Rechnerpreisen, kann man doch schon etwas in Zeitdruck geraten aber das ist nur ein Gedankengang von mir, was ihr letztendlich tut und dafür verlangt, ist natürlich eure Sache - kein Thema. Aber aus eigener Erfahrung kann ich da nur dringend raten sowas mit dem Kunden unbedingt vorab (also vor Arbeitsbeginn) zu klären.

mrtux
Bitte warten ..
Mitglied: Lochkartenstanzer
28.06.2012 um 13:21 Uhr
Zitat von anaxagoras83:
Gibt es weitere Erfahrungen mit dieser Malware?
Konntet Ihr die Daten wieder entschlüsseln?

Ciao,

Meine Erfahrungen:

Plattmachen und frisch installieren, Dazu Daten aus dem Backuo wieder holen ist das effektivste un kostengünstigste Verfahren.

Alles andere ist nur Sisyphos-Arbeit.

lks
Bitte warten ..
Mitglied: schattenhacker
28.06.2012 um 13:29 Uhr
immer wieder schön. Aber es kommt bald brain 2.0 beta.
Oder in der Apotheke brain forte ++
Bitte warten ..
Mitglied: win-dozer
28.06.2012 um 13:58 Uhr
Hallo,

hast du die aktuellste Version vom Avira Ransom File Unlocker? Mit der 1.0.1 soll der nämlich auch die "neue" Verschlüsselung unterstützen...?

Ansonsten kannst du dich hier mal melden, Support geht flott und die machen nichts anderes als das ;)
http://www.trojaner-board.de/114224-avira-ransom-file-unlocker.html

Grüße

win-dozer
Bitte warten ..
Mitglied: anaxagoras83
28.06.2012 um 14:39 Uhr
Zitat von mrtux:
Hi !

> Zitat von anaxagoras83:
> ----
> Habe gerade mal kurz nach Bain.exe gegoogelt. Du hast Bain.exe nur als ein weiteres Beispiel eines Wurms genannt,

Brain.exe ist ein Programm, dass beim Start dem Kunden per Popup (oder besser noch per 400 Volt Stromschlag) erklärt
"Ich muss nicht mit aller Gewalt auf einen Mailanhang mit dem Namen
bösergemeinertrojanerdersichalsbraveundsimplezipdateimitangeblichharmloseminhaltverkleidet.zip klicken!" ;-P

Du hast ja Recht

> Soll das bedeuten ich sollte den Versuch die Daten zu entschlüsseln aufgeben oder stetig weiter versuchen mit allen

Ich weiss ja nicht was ihr in eurer Werkstatt so in der Stunde verlangt aber wenn ihr das Entfernen der Malware als professionelle
Dienstleistung anbietet, dann wirst Du da vermutlich keine x Stunden herumbasteln können, denn sonst wird deine
Dienstleistung für den Endkunden teurer als ein neuer Rechner samt neuem und funktionsfähigen Windows. Die Frage ist
doch, ist der Kunde bereit im Extremfall für seine "Urlaubsbilder" eine drei (oder sogar vierstellige) Summe auf
den Tisch zu legen? Und bei den heutigen Rechnerpreisen, kann man doch schon etwas in Zeitdruck geraten aber das ist nur ein
Gedankengang von mir, was ihr letztendlich tut und dafür verlangt, ist natürlich eure Sache - kein Thema. Aber aus
eigener Erfahrung kann ich da nur dringend raten sowas mit dem Kunden unbedingt vorab (also vor Arbeitsbeginn) zu klären.

Das wird mit dem Kunden vorher geklärt. In diesem speziellen Fall hat der Kunde einfach keine Datensicherung und der Fall ist in sofern abgeschlossen, dass der Kunde eine frische Installation des Gerätes erhalten hat mit dem Zurückspielen aller Daten die wir retten konnten (also die nicht Verschlüsselten). Wir haben eine Sicherung des infizierten Systems. Aus dieser versuchen wir dann im nachhinein die Daten zu retten. Ich habe jetzt zwei Tools:

- Das von Avira (das aktuelle)
- Das von GDATA (nach Bitten an der Hotline)

Beste Grüße

Anaxagoras83
Bitte warten ..
Mitglied: anaxagoras83
28.06.2012 um 14:40 Uhr
Zitat von schattenhacker:
immer wieder schön. Aber es kommt bald brain 2.0 beta.
Oder in der Apotheke brain forte ++

So wie ich darauf reagiert, und es nicht verstanden habe:
Brauche ich das viel dringender als die Kunden
Bitte warten ..
Mitglied: anaxagoras83
29.06.2012 um 15:26 Uhr
Ich habe die beiden Tools nun per Fernwartung auf dem Rechner ausprobiert.
Leider funktionieren beide nicht.

Beide sagen, dass die Dateien nicht entschlüsselt werden konnten.
Noch jemand eine Idee (die nicht brain.exe beinhaltet)? *g*

Beste Grüße

Anax
Bitte warten ..
Mitglied: Lochkartenstanzer
29.06.2012 um 20:59 Uhr
Zitat von anaxagoras83:
Beide sagen, dass die Dateien nicht entschlüsselt werden konnten.
Noch jemand eine Idee (die nicht brain.exe beinhaltet)? *g*

Trojaner an die AV-Hersteller schicken und warten, bis neue Versionen der Tools kommen, d.h. in mehreren Wochen nochmal probieren. oder einen der Datenretter wie Vogon, kroll-ontrack und wie sie alle heißen kontaktieren.

lks
Bitte warten ..
Mitglied: anaxagoras83
02.07.2012 um 10:29 Uhr
Zitat von Lochkartenstanzer:
> Zitat von anaxagoras83:
> ----
> Beide sagen, dass die Dateien nicht entschlüsselt werden konnten.
> Noch jemand eine Idee (die nicht brain.exe beinhaltet)? *g*

Trojaner an die AV-Hersteller schicken und warten, bis neue Versionen der Tools kommen, d.h. in mehreren Wochen nochmal probieren.
oder einen der Datenretter wie Vogon, kroll-ontrack und wie sie alle heißen kontaktieren.

lks

Sehr gute Idee mit Kroll und Vogon. Vielen Dank.
Ich lasse den Thread vorerst offen, wenn das genehm ist.

Beste Grüße

Anaxagoras83
Bitte warten ..
Mitglied: bernie1
02.07.2012 um 19:13 Uhr
Zur Vorbeugung gegen Bundetrojaner u.a.
Das kostenlose Tool http://greatis.com/security/reanimator.html
Noch besser: um die kostenpflichtigen Tools
"Unhackme" und "Regrun" ergänzen.
Seit Jahren gehe ich nicht ohne aus dem Haus (ins Netz)
Bernd
Bitte warten ..
Mitglied: anaxagoras83
23.04.2013 um 14:59 Uhr
Vielen Dank für alle Antworten und Hilfestellungen,
jedoch hat sich das Problem wegen Desinteresse des Datenurhebers gelöst.

Die Daten konnten bis dato nicht wieder hergestellt werden.

Beste Grüße
Anaxagoras83
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Sicherheits-Tools
Anti-Schnüffler-Tool SAMRi10 soll Windows-Netzwerke schützen

Link von AnkhMorpork zum Thema Sicherheits-Tools ...

Speicherkarten
Tool zum neuformatieren eines USB-Sticks (6)

Frage von flyingKangaroo zum Thema Speicherkarten ...

Erkennung und -Abwehr
Hackers are holding San Francisco s light-rail system for ransom

Link von Lochkartenstanzer zum Thema Erkennung und -Abwehr ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...