Bundespolizei Trojaner und Co.

    Hallo,

    ihr kennt doch sicher die ganzen Viren aka Bundespolizei Trojaner, GVU Trojaner, GEMA usw... Die Angebliche eine Straftat auf dem PC festgestellt haben und gegen eine Zahlung eines Bußgeldes in Hohe von 100 Euro per Ukash bzw Paysafe wird das Verfahren eingestellt. Die erste Version dieser Trojaner Gruppe konnte man noch leicht selbst im Abgesicherten Modus entfernen.

    Doch die nächste Version dieser Viren ist da schon etwas kniffliger. Diese verschlüsseln zusätzlich Persönliche Dateien wie z.B. Bilder. Man kann diesen Virus genau wie die erste Generation entfernen, doch die Dateien bleiben verschlüsselt. Kaspersky und Co haben dafür kleine Tools im Angebot zur entschlüsselung. Diese Programme heissen z.B. Kaspersky Rannoh Decrypter oder Avira Ransom File Unlocker. Man braucht nur eine Orignal Datei ... z.B. aus den Beispiel Bildern und die Verschlüsselte Version und nach einigen Minuten war das alles erledigt.

    Jetzt scheint es eine dritte Generation zu geben und ich verzweifle ein wenig daran. Der Virus lässt sich auch entfernen, doch die Daten sind verschlüsselt. Die Tools helfen leider nicht. Soweit habe ich rausgefunden habe, hat der Trojaner die ersten 12kb der Datei "verstümmelt".

    JPEGsnoop habe ich schon probiert, doch dieser bricht am Anfang mit der meldung das der JPEG Maker nicht gefunden werden könnte ab.

    Wer von euch jetzt sich daran versuchen will ich habe hier jetzt eine Verschlüsselte Datei und das Original Online gestellt. Der Link

    Na denne mal los...

    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

    Früh aufstehen ist der erste Schritt in die falsche Richtung.

    Uri Geller verbiegt Löffel. Na und, Maggi macht Knoten rein!

    Ich bin im WH Forum seit dem 11.05.2003 ... wow

    In der Tat. Außerdem wurde teilweise noch ein 0x0D (CR) eingefügt.
    Ich würde warten bis die Tools angepasst sind.

    PGP-Key E384 009D 3B54 DCD3 21BF  9532 95EE 94A4 3258 3DB1 | S/MIME-Key 0x1A33706DAD44DA
    G d-@ s+:- a--- C+++ UB+L++ P--- L++@ E-@>++ W+ N o? K? w>++ !O !M !V PS+++ PE-- Y+>++ PGP++>+++ !t 5? X? !R tv b+++>++++ DI !D G>+ e>+++ h !r>++ !z
    „Die Aachener gelten als Erfinder des 4. Hauptsatzes der Thermodynamik: ‚Thermo schreibt man zweimal.“‘
    “Saying that Java is good because it works on all platforms is like saying oral sex is good because it works on all sexes.”
    „Es gibt 10 Sorten von Leuten: Die einen verstehen das Binärsystem, die anderen nicht.“
    „Manche Männer lieben Männer, Manche Frauen eben Frauen; Da gibt's nix zu bedauern und nichts zu staunen; Das ist genau so normal wie Kaugummi kauen; Doch die meisten werden sich das niemals trauen“

    Das ist bitter, ein Kumpel von mir hatte diesen Virus Anfang Juni auch unter Win7. Ich hab daran gar nicht lang rumgefrickelt, sondern als ich im Frühjahr diesen Rechner installiert habe, habe ich die Win Partition geklont mit dd und eben im Ernstfall wieder mit dd zurück geschrieben. Mir ist klar, das die installierte Antivir Version im Backup vom Januar ist, deswegen zack zack Antivir frisch geladen und über USB eingespielt bevor der Rechner mit Win7 wieder online ging. Da auf dieser Kiste auch Linux drauf ist, kam mein Kumpel zum ersten mal überhaupt damit in Berührung. Er war erstaunt wie zuverlässig dieses System doch trotz ihm jeder davon abgeraten hat. Er hat sich jetzt überlegt evtl. ganz auf Linux umzusteigen und Win nur noch fürs BF3 spielen zu verwenden (was aber nicht von der Pflicht entbindet trotzdem immer Updates zu machen und das System zu pflegen)

    Ich verfahre mittlerweile bei fast allen Leuten so deren PC ich pflege. Nach einer sauberen Win Neuinstallation ein dd Backup erstellen und im Bedarfsfall zurückspielen - mit neuer Antivirversion vor dem online gehen. Das Backup wird auf eine externe Platte geschrieben, die Zeitersparniss ist enorm da man kaum mehr machen muss als dd und Antivir aktualisieren.

    Hoffentlich bringen die Antivirhersteller bald eine Lösung für das Problem mit den vertümmelten Files. Kann man die nicht entsprechende Datei im HEX Editor reparieren/editieren?

    Zitat von meego4ever!


    Kann man die nicht entsprechend im HEX Editor reparieren?

    Es reicht fast dd (bis auf das Problem mit dem 0x0D, aber das schafft man auch mit bissel regex)


    Das Problem ist nur: Wo nimmst du die ersten 12k her? Hier hatte ich ja die Oridinaldatei, aber die hat man nicht immer. Solang nicht noch wer rausfindet welcher Verschlüsselungsalgrythmus (und wenns sowas wie ROT128 ist) da benutzt wird...

    PGP-Key E384 009D 3B54 DCD3 21BF  9532 95EE 94A4 3258 3DB1 | S/MIME-Key 0x1A33706DAD44DA
    G d-@ s+:- a--- C+++ UB+L++ P--- L++@ E-@>++ W+ N o? K? w>++ !O !M !V PS+++ PE-- Y+>++ PGP++>+++ !t 5? X? !R tv b+++>++++ DI !D G>+ e>+++ h !r>++ !z
    „Die Aachener gelten als Erfinder des 4. Hauptsatzes der Thermodynamik: ‚Thermo schreibt man zweimal.“‘
    “Saying that Java is good because it works on all platforms is like saying oral sex is good because it works on all sexes.”
    „Es gibt 10 Sorten von Leuten: Die einen verstehen das Binärsystem, die anderen nicht.“
    „Manche Männer lieben Männer, Manche Frauen eben Frauen; Da gibt's nix zu bedauern und nichts zu staunen; Das ist genau so normal wie Kaugummi kauen; Doch die meisten werden sich das niemals trauen“

    habe auch gerade mal im Trojaner Board gesucht und gegooglet ... irgendwie hat keiner so eine richtige lösung das teil soll es seit juni geben ich habe jetzt auch mal eine zweite verschlüsselte datei genommen da sehen die ersten 12 kb ganz anders aus

    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

    Früh aufstehen ist der erste Schritt in die falsche Richtung.

    Uri Geller verbiegt Löffel. Na und, Maggi macht Knoten rein!

    Ich bin im WH Forum seit dem 11.05.2003 ... wow

    Zitat von thosch97

    Es reicht fast dd (bis auf das Problem mit dem 0x0D, aber das schafft man auch mit bissel regex)


    Das Problem ist nur: Wo nimmst du die ersten 12k her? Hier hatte ich ja die Oridinaldatei, aber die hat man nicht immer. Solang nicht noch wer rausfindet welcher Verschlüsselungsalgrythmus (und wenns sowas wie ROT128 ist) da benutzt wird...


    das dd in meinem Beitrag war nicht auf das bezogen :D Ich wollte nur allgemein meine Erfahrungen damit posten.

    Zitat von meego4ever!


    das dd in meinem Beitrag war nicht auf das bezogen :D Ich wollte nur allgemein meine Erfahrungen damit posten.

    Drum hab ich ja auch nur den entsprechenden Teil zitiert.

    PGP-Key E384 009D 3B54 DCD3 21BF  9532 95EE 94A4 3258 3DB1 | S/MIME-Key 0x1A33706DAD44DA
    G d-@ s+:- a--- C+++ UB+L++ P--- L++@ E-@>++ W+ N o? K? w>++ !O !M !V PS+++ PE-- Y+>++ PGP++>+++ !t 5? X? !R tv b+++>++++ DI !D G>+ e>+++ h !r>++ !z
    „Die Aachener gelten als Erfinder des 4. Hauptsatzes der Thermodynamik: ‚Thermo schreibt man zweimal.“‘
    “Saying that Java is good because it works on all platforms is like saying oral sex is good because it works on all sexes.”
    „Es gibt 10 Sorten von Leuten: Die einen verstehen das Binärsystem, die anderen nicht.“
    „Manche Männer lieben Männer, Manche Frauen eben Frauen; Da gibt's nix zu bedauern und nichts zu staunen; Das ist genau so normal wie Kaugummi kauen; Doch die meisten werden sich das niemals trauen“

  • Beitrag von حبيبي (24. Juli 2012 um 23:01)

    Dieser Beitrag wurde gelöscht, Informationen über den Löschvorgang sind nicht verfügbar.

    Okay, das wäre auch ne interessante Frage, kenne 2 Leute, die den bis jetzt hatten.
    Beide waren zum Glück so schlau, Daten in eigene Ordner auf ner extra Partition zu speichern.
    Hab die Rechner dann einfach neu aufgesetzt mit ner versteckten, kleingeschobenen Partition, die ich immer beim 1. Mal neu aufsetzen erstelle, ist ne Sache von ein paar Minuten. Könnte meinen Rechner auch so schnell neu aufsetzen, wenn es nötig wäre.

    Bei meiner Verlobten war es klar, wie sie den bekommen hat: Sie gibt irgendwelche Random Suchbegriffe in Google Bilder ein und speichert sich da alles mögliche ab...
    Das muss ich ihr irgendwie abgewöhnen:(

    Zitat von h to the eck


    Was ich mich ja frage: Wie fängt man sich den überhaupt ein?


    Schwester eines Kumpels angeblich per Spammail.

    Nachtrag: Ohne alles gelesen zu haben, es gibt für eine ältere Version des Trojaners einen Bruteforce-Tool von Avira oder Kaspersky. Schlüssel reverse-engeneeren ist eher nicht, und vezahlen hilft auch nicht.

    Einmal editiert, zuletzt von gandro (24. Juli 2012 um 23:12)

    gandro ... diese Tools klappen leider nicht.

    Wie fängt man sich sowas ein? ... In diesem Fall hat der jenige eine EMail bekommen mit einer ZIP Datei im Angang von einer Person die er auch kennt und regelmässig EMails schreibt. Also hat er diesen Anhang einfach geöfftet und dannach ging es los ...

    *edit*

    die email wurde aber nie von dieser person geschrieben ... also gehackter email account ... gmx

    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

    Früh aufstehen ist der erste Schritt in die falsche Richtung.

    Uri Geller verbiegt Löffel. Na und, Maggi macht Knoten rein!

    Ich bin im WH Forum seit dem 11.05.2003 ... wow

    Einmal editiert, zuletzt von SnGtKs (25. Juli 2012 um 07:41)

    Zitat von Benjamin92

    Bei meiner Verlobten war es klar, wie sie den bekommen hat: Sie gibt irgendwelche Random Suchbegriffe in Google Bilder ein und speichert sich da alles mögliche ab...
    Das muss ich ihr irgendwie abgewöhnen:(

    Ganz ehrlich: sowas mach ich auch. Aber da kein Windows mach ich mir da keine Sorgen.

    PGP-Key E384 009D 3B54 DCD3 21BF  9532 95EE 94A4 3258 3DB1 | S/MIME-Key 0x1A33706DAD44DA
    G d-@ s+:- a--- C+++ UB+L++ P--- L++@ E-@>++ W+ N o? K? w>++ !O !M !V PS+++ PE-- Y+>++ PGP++>+++ !t 5? X? !R tv b+++>++++ DI !D G>+ e>+++ h !r>++ !z
    „Die Aachener gelten als Erfinder des 4. Hauptsatzes der Thermodynamik: ‚Thermo schreibt man zweimal.“‘
    “Saying that Java is good because it works on all platforms is like saying oral sex is good because it works on all sexes.”
    „Es gibt 10 Sorten von Leuten: Die einen verstehen das Binärsystem, die anderen nicht.“
    „Manche Männer lieben Männer, Manche Frauen eben Frauen; Da gibt's nix zu bedauern und nichts zu staunen; Das ist genau so normal wie Kaugummi kauen; Doch die meisten werden sich das niemals trauen“

    Wenn jemand was neues hört bezüglich der entschlüsselung wäre es super wenn er es hier mal postet. Eine bekannte hat sich den Virus auch eingefangen. Den bekommt man relativ leicht wieder vom System, das Problem ist, das Ihre Daten auch verschlüsselt sind. Da es sich um eine neuere Version des Virus handelte, funktionierten die mir bisdahin bekannten Tools nicht. Es schien so, als ob der Virus in jeder Datei anders vorgeht. (Mal wird der Dateninhalt einfach gespiegelt, mal die ersten 12 Kb überschrieben, usw.)

    Wie sie sich den eingefangen hat: Rechnung.zip geöffnet.

    wenn die ersten 12kb weg sind, wie sollen die vom Virus nach dem bezahlen wieder rekonstruiert werden? Legt der Virus dazu eine Datei ab in der die entsprechenden 12kb jeweils gespeichert werden?

    Ich hätte sowieso kein Vertrauen zu den Virenchreibernn "vonwegen du bezahlst - bekommst du deine Daten wieder"
    Die Kohle ist auf nimmer Wiedersehen weg, aber es gibt bestimmt genug unwissende Anwender die aus Einschüchterung oder gutem Glauben bezahlen.

    @meego4evee! ... nein es werden die ersten 12kb einer Datei verschlüsselt ... siehe link im ersten beitrag dieses threads... dort findest du die original datei und die verschlüsselte version wenn du die dateien dir dann mit nem hex editor anschaust siehst du es ...

    mfg quasi @ wörk

    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

    Früh aufstehen ist der erste Schritt in die falsche Richtung.

    Uri Geller verbiegt Löffel. Na und, Maggi macht Knoten rein!

    Ich bin im WH Forum seit dem 11.05.2003 ... wow

    Zitat von SnGtKs


    die email wurde aber nie von dieser person geschrieben ... also gehackter email account ... gmx

    Ein hacken des Accounts ist garnicht nötig. Man kann im FROM-header jeden mist reinschreiben und schon siehts so aus, als käm die Mail von der entsprechenden Mailadresse.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!

Benutzerkonto erstellen Anmelden