Winhistory-Forum Software Anwendungen v
Bundespolizei Trojaner und Co.

Neue Antwort schreiben 
 
Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Bundespolizei Trojaner und Co.
SnGtKs Offline
DEXTER

Beiträge: 1.616
Registriert seit: Jul 2008
Beitrag #1
Bundespolizei Trojaner und Co.
Hallo,

ihr kennt doch sicher die ganzen Viren aka Bundespolizei Trojaner, GVU Trojaner, GEMA usw... Die Angebliche eine Straftat auf dem PC festgestellt haben und gegen eine Zahlung eines Bußgeldes in Hohe von 100 Euro per Ukash bzw Paysafe wird das Verfahren eingestellt. Die erste Version dieser Trojaner Gruppe konnte man noch leicht selbst im Abgesicherten Modus entfernen.

Doch die nächste Version dieser Viren ist da schon etwas kniffliger. Diese verschlüsseln zusätzlich Persönliche Dateien wie z.B. Bilder. Man kann diesen Virus genau wie die erste Generation entfernen, doch die Dateien bleiben verschlüsselt. Kaspersky und Co haben dafür kleine Tools im Angebot zur entschlüsselung. Diese Programme heissen z.B. Kaspersky Rannoh Decrypter oder Avira Ransom File Unlocker. Man braucht nur eine Orignal Datei ... z.B. aus den Beispiel Bildern und die Verschlüsselte Version und nach einigen Minuten war das alles erledigt.

Jetzt scheint es eine dritte Generation zu geben und ich verzweifle ein wenig daran. Der Virus lässt sich auch entfernen, doch die Daten sind verschlüsselt. Die Tools helfen leider nicht. Soweit habe ich rausgefunden habe, hat der Trojaner die ersten 12kb der Datei "verstümmelt".

JPEGsnoop habe ich schon probiert, doch dieser bricht am Anfang mit der meldung das der JPEG Maker nicht gefunden werden könnte ab.

Wer von euch jetzt sich daran versuchen will ich habe hier jetzt eine Verschlüsselte Datei und das Original Online gestellt. Der Link

Na denne mal los...
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Früh aufstehen ist der erste Schritt in die falsche Richtung.

Uri Geller verbiegt Löffel. Na und, Maggi macht Knoten rein!

Ich bin im WH Forum seit dem 11.05.2003 ... wow
24.07.2012 19:26
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
thosch97 Offline
All things have a right to grow

Beiträge: 9.820
Registriert seit: Feb 2010
Beitrag #2
RE: Bundespolizei Trojaner und Co.
In der Tat. Außerdem wurde teilweise noch ein 0x0D (CR) eingefügt.
Ich würde warten bis die Tools angepasst sind.
PGP-Key E384 009D 3B54 DCD3 21BF 9532 95EE 94A4 3258 3DB1 | S/MIME-Key 0x1A33706DAD44DA
G d-@ s+:- a--- C+++ UB+L++ P--- L++@ E-@>++ W+ N o? K? w>++ !O !M !V PS+++ PE-- Y+>++ PGP++>+++ !t 5? X? !R tv b+++>++++ DI !D G>+ e>+++ h !r>++ !z
„Die Aachener gelten als Erfinder des 4. Hauptsatzes der Thermodynamik: ‚Thermo schreibt man zweimal.“‘
“Saying that Java is good because it works on all platforms is like saying oral sex is good because it works on all sexes.”
„Es gibt 10 Sorten von Leuten: Die einen verstehen das Binärsystem, die anderen nicht.“
„Manche Männer lieben Männer, Manche Frauen eben Frauen; Da gibt's nix zu bedauern und nichts zu staunen; Das ist genau so normal wie Kaugummi kauen; Doch die meisten werden sich das niemals trauen“
24.07.2012 20:22
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
meego4ever! Offline
war in Schweden und möchte wieder zurück

Beiträge: 8.255
Registriert seit: Jun 2012
Beitrag #3
RE: Bundespolizei Trojaner und Co.
Das ist bitter, ein Kumpel von mir hatte diesen Virus Anfang Juni auch unter Win7. Ich hab daran gar nicht lang rumgefrickelt, sondern als ich im Frühjahr diesen Rechner installiert habe, habe ich die Win Partition geklont mit dd und eben im Ernstfall wieder mit dd zurück geschrieben. Mir ist klar, das die installierte Antivir Version im Backup vom Januar ist, deswegen zack zack Antivir frisch geladen und über USB eingespielt bevor der Rechner mit Win7 wieder online ging. Da auf dieser Kiste auch Linux drauf ist, kam mein Kumpel zum ersten mal überhaupt damit in Berührung. Er war erstaunt wie zuverlässig dieses System doch trotz ihm jeder davon abgeraten hat. Er hat sich jetzt überlegt evtl. ganz auf Linux umzusteigen und Win nur noch fürs BF3 spielen zu verwenden (was aber nicht von der Pflicht entbindet trotzdem immer Updates zu machen und das System zu pflegen)

Ich verfahre mittlerweile bei fast allen Leuten so deren PC ich pflege. Nach einer sauberen Win Neuinstallation ein dd Backup erstellen und im Bedarfsfall zurückspielen - mit neuer Antivirversion vor dem online gehen. Das Backup wird auf eine externe Platte geschrieben, die Zeitersparniss ist enorm da man kaum mehr machen muss als dd und Antivir aktualisieren.

Hoffentlich bringen die Antivirhersteller bald eine Lösung für das Problem mit den vertümmelten Files. Kann man die nicht entsprechende Datei im HEX Editor reparieren/editieren?
(Dieser Beitrag wurde zuletzt bearbeitet: 24.07.2012 20:34 von meego4ever!.)
24.07.2012 20:27
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
thosch97 Offline
All things have a right to grow

Beiträge: 9.820
Registriert seit: Feb 2010
Beitrag #4
RE: Bundespolizei Trojaner und Co.
(24.07.2012 20:27)meego4ever! schrieb:  Kann man die nicht entsprechend im HEX Editor reparieren?

Es reicht fast dd (bis auf das Problem mit dem 0x0D, aber das schafft man auch mit bissel regex)
Code:
[Di 12/07/24 21:19 CEST][pts/5][x86_64/linux-gnu/3.0.0-22-generic][4.3.11]
<thosch97@darkstar:/tmp/quasi>
zsh 49 % dd if=Winter.jpg bs=1024 count=12 > out.jpg
12+0 Datensätze ein
12+0 Datensätze aus
12288 Bytes (12 kB) kopiert, 0,000165515 s, 74,2 MB/s
[Di 12/07/24 21:19 CEST][pts/5][x86_64/linux-gnu/3.0.0-22-generic][4.3.11]
<thosch97@darkstar:/tmp/quasi>
zsh 50 % dd if=AVgVaoUengLVDoreq bs=1024 skip=12 >> out.jpg
91+1 Datensätze ein
91+1 Datensätze aus
93251 Bytes (93 kB) kopiert, 0,000452808 s, 206 MB/s
Das Problem ist nur: Wo nimmst du die ersten 12k her? Hier hatte ich ja die Oridinaldatei, aber die hat man nicht immer. Solang nicht noch wer rausfindet welcher Verschlüsselungsalgrythmus (und wenns sowas wie ROT128 ist) da benutzt wird...
PGP-Key E384 009D 3B54 DCD3 21BF 9532 95EE 94A4 3258 3DB1 | S/MIME-Key 0x1A33706DAD44DA
G d-@ s+:- a--- C+++ UB+L++ P--- L++@ E-@>++ W+ N o? K? w>++ !O !M !V PS+++ PE-- Y+>++ PGP++>+++ !t 5? X? !R tv b+++>++++ DI !D G>+ e>+++ h !r>++ !z
„Die Aachener gelten als Erfinder des 4. Hauptsatzes der Thermodynamik: ‚Thermo schreibt man zweimal.“‘
“Saying that Java is good because it works on all platforms is like saying oral sex is good because it works on all sexes.”
„Es gibt 10 Sorten von Leuten: Die einen verstehen das Binärsystem, die anderen nicht.“
„Manche Männer lieben Männer, Manche Frauen eben Frauen; Da gibt's nix zu bedauern und nichts zu staunen; Das ist genau so normal wie Kaugummi kauen; Doch die meisten werden sich das niemals trauen“
24.07.2012 20:31
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
SnGtKs Offline
DEXTER

Beiträge: 1.616
Registriert seit: Jul 2008
Beitrag #5
RE: Bundespolizei Trojaner und Co.
habe auch gerade mal im Trojaner Board gesucht und gegooglet ... irgendwie hat keiner so eine richtige lösung das teil soll es seit juni geben ich habe jetzt auch mal eine zweite verschlüsselte datei genommen da sehen die ersten 12 kb ganz anders aus
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Früh aufstehen ist der erste Schritt in die falsche Richtung.

Uri Geller verbiegt Löffel. Na und, Maggi macht Knoten rein!

Ich bin im WH Forum seit dem 11.05.2003 ... wow
24.07.2012 20:41
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
meego4ever! Offline
war in Schweden und möchte wieder zurück

Beiträge: 8.255
Registriert seit: Jun 2012
Beitrag #6
RE: Bundespolizei Trojaner und Co.
(24.07.2012 20:31)thosch97 schrieb:  
(24.07.2012 20:27)meego4ever! schrieb:  Kann man die nicht entsprechend im HEX Editor reparieren?

Es reicht fast dd (bis auf das Problem mit dem 0x0D, aber das schafft man auch mit bissel regex)
Code:
[Di 12/07/24 21:19 CEST][pts/5][x86_64/linux-gnu/3.0.0-22-generic][4.3.11]
<thosch97@darkstar:/tmp/quasi>
zsh 49 % dd if=Winter.jpg bs=1024 count=12 > out.jpg
12+0 Datensätze ein
12+0 Datensätze aus
12288 Bytes (12 kB) kopiert, 0,000165515 s, 74,2 MB/s
[Di 12/07/24 21:19 CEST][pts/5][x86_64/linux-gnu/3.0.0-22-generic][4.3.11]
<thosch97@darkstar:/tmp/quasi>
zsh 50 % dd if=AVgVaoUengLVDoreq bs=1024 skip=12 >> out.jpg
91+1 Datensätze ein
91+1 Datensätze aus
93251 Bytes (93 kB) kopiert, 0,000452808 s, 206 MB/s
Das Problem ist nur: Wo nimmst du die ersten 12k her? Hier hatte ich ja die Oridinaldatei, aber die hat man nicht immer. Solang nicht noch wer rausfindet welcher Verschlüsselungsalgrythmus (und wenns sowas wie ROT128 ist) da benutzt wird...
das dd in meinem Beitrag war nicht auf das bezogen :D Ich wollte nur allgemein meine Erfahrungen damit posten.
24.07.2012 21:12
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
thosch97 Offline
All things have a right to grow

Beiträge: 9.820
Registriert seit: Feb 2010
Beitrag #7
RE: Bundespolizei Trojaner und Co.
(24.07.2012 21:12)meego4ever! schrieb:  das dd in meinem Beitrag war nicht auf das bezogen :D Ich wollte nur allgemein meine Erfahrungen damit posten.

Drum hab ich ja auch nur den entsprechenden Teil zitiert.
PGP-Key E384 009D 3B54 DCD3 21BF 9532 95EE 94A4 3258 3DB1 | S/MIME-Key 0x1A33706DAD44DA
G d-@ s+:- a--- C+++ UB+L++ P--- L++@ E-@>++ W+ N o? K? w>++ !O !M !V PS+++ PE-- Y+>++ PGP++>+++ !t 5? X? !R tv b+++>++++ DI !D G>+ e>+++ h !r>++ !z
„Die Aachener gelten als Erfinder des 4. Hauptsatzes der Thermodynamik: ‚Thermo schreibt man zweimal.“‘
“Saying that Java is good because it works on all platforms is like saying oral sex is good because it works on all sexes.”
„Es gibt 10 Sorten von Leuten: Die einen verstehen das Binärsystem, die anderen nicht.“
„Manche Männer lieben Männer, Manche Frauen eben Frauen; Da gibt's nix zu bedauern und nichts zu staunen; Das ist genau so normal wie Kaugummi kauen; Doch die meisten werden sich das niemals trauen“
24.07.2012 21:13
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
julben Offline
Erfahrener Benutzer

Beiträge: 2.324
Registriert seit: Jul 2008
Beitrag #8
RE: Bundespolizei Trojaner und Co.
Viel wird sich da nicht machen lassen, außer man zieht den Schlüssel per Reverse Engineering aus dem Trojaner.
24.07.2012 21:30
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
Benjamin92 Offline
tauscht CMOS-Batterie per TeamViewer

Beiträge: 7.787
Registriert seit: Jul 2008
Beitrag #9
RE: Bundespolizei Trojaner und Co.
Rein theoretische Frage: Würden denn die Daten entschlüsselt werden, wenn man diese Zahlung einfach tätigt?
Bzw, was passiert, wenn man zahlt?
24.07.2012 21:59
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
Gelöschter Beitrag von Ostholländer
Benjamin92 Offline
tauscht CMOS-Batterie per TeamViewer

Beiträge: 7.787
Registriert seit: Jul 2008
Beitrag #10
RE: Bundespolizei Trojaner und Co.
Okay, das wäre auch ne interessante Frage, kenne 2 Leute, die den bis jetzt hatten.
Beide waren zum Glück so schlau, Daten in eigene Ordner auf ner extra Partition zu speichern.
Hab die Rechner dann einfach neu aufgesetzt mit ner versteckten, kleingeschobenen Partition, die ich immer beim 1. Mal neu aufsetzen erstelle, ist ne Sache von ein paar Minuten. Könnte meinen Rechner auch so schnell neu aufsetzen, wenn es nötig wäre.

Bei meiner Verlobten war es klar, wie sie den bekommen hat: Sie gibt irgendwelche Random Suchbegriffe in Google Bilder ein und speichert sich da alles mögliche ab...
Das muss ich ihr irgendwie abgewöhnen:(
24.07.2012 22:06
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
Neue Antwort schreiben 


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 3 Gast/Gäste