Alle Dateien heißen jetzt locked- und lassen sich nicht öffnen

Mai 4, 2012 von 2ndlive 27 Kommentare

[01/2014]Aktueller Hinweis: Dies ist ein Artikel aus dem Jahr 2012 und beschreibt nicht die momentan kursierenden Verschlüsselungsviren, die vermehrt durch gefälschte Telekom, Vodafone, Volksbank Rechnungen etc. verbreitet werden. Diese funktionieren in der gleichen wie die  hier beschriebenen Weise jedoch hilft der Artikel nur eventuell bei der Entfernung der Viren und Entschlüsselung der ruinierten Dateien durch den zur Zeit verbreiteten Schädling. Nach diversen Informationen sollen wohl die unten aufgeführten Decrypter auch die aktuell verschlüsselten Dateien wieder herstellen können. Bestätigen kann ich es persönlich nicht. Einen Versuch ist es wert.
 

Einleitung

Sie sind hier gelandet weil sie sich wahrscheinlich einen Virus eingefangen haben und sie die Google Suche bemüht haben. Seit ca. 14 Tagen häufen sich bei mir im Arbeitsumfeld die Meldungen nach locked- Dateien in Benutzerprofilen von MS Windows. Der Trojaner nennt sich trojan.matsnu.1, Trojan.Encoder.94 bzw. W32/RansomCrypt. Diese sog. Ransomware hat nur die Absicht ihnen Geld aus der Tasche zu ziehen. Sie werden aufgefordert 50 Euro zu bezahlen um die Verschlüsselung rückgängig zu machen. Zahlen sie passiert gar nix. Ihr Geld ist weg und es findet keine Entschlüsselung ihrer Daten statt. Ihr Computer startet zwar noch ihr Windows aber ihre Programme und Dateien sind futsch. Rennen sie bloss nicht zur Tankstelle und kaufen eine PaySafe Karte wie aufgefordert.

Wie hab ich mir das eingefangen? 

Die wirklich blöde Seuche kommt meist per Email und agiert so ähnlich wie der UKASH-, GEMA-, oder auch BKA Trojaner, der allerdings über verseuchte Webseiten eingeschleppt wird. Meistens über eine iFrame Attacke. Beim Trojan.Matsnu1 haben sie eine Email erhalten mit einem Dateianhang. Ich habe heute div. Mails erhalten die den Trojaner enthalten. Hier eine Email von (angeblich) DHL:

Im Anhang befindet sich eine .zip Datei: World-Parcel-Express-Details05_2012-TMX06IO621725.zip.  Beim Abspeichern des Dokumentes auf den Desktop schlägt sofort mein Antivirenprogramm Alarm. Malwarebytes hat in diesem Anhang nichts entdeckt. Ich vermute eine neue Variante des Trojan.Matsnu1. Öffne ich die zip Datei extrahiert sich eine World-Parcel-Express-Details.exe, die wenn sie ausgeführt wird den Trojaner installiert.

Eine weitere Mail von DHL enthielt den Trojaner TR/Crypt.ZPACK.Gen (Avira). Auch diese Mails erhalte ich öfters.

Sie sehen also wieso man immer rät, keine Anhänge aus Emails zu öffnen die sie nicht kennen. Sie enthalten Überraschungen.

Ihr System wird mit dem Verschlüsselungsvirus verseucht in dem Moment wo sie den Anhang öffnen und ausführen. Der Trojaner nistet sich ein und fängt lansam an ihr Windows System Stück für Stück zu verschlüsseln und gleichzeitig alle Datein umzubenennen. Achten sie zur Zeit auf Emails, in denen sie eine Bestellbestätigung für irgendein technisches Gerät oder einen Beleg für eine Nachnahmesendung erhalten. Meistens von DHL oder einem Online Versandhandel. Auch im Namen der Telekom tauchen inzwischen Mails auf.  Löschen sie solche Mails sofort ohne sie zu lesen. Diese sind sehr überzeugend gestaltet aber sie sollten ja wissen ob sie ein Paket erwarten oder einen Fernseher im Internet bestellt haben. Diese Email ist weder von DHL, Telekom und auch nicht von einer möglichen Bestellung. Die Absenderadressen sind sehr unterschiedlich, hier finden sie z. Bsp einen Blogeintrag von einem Admin mit dem Originaltext einer dieser Mails. Diese stammt angeblich von assuretec.co.uk.

 Was macht der Virus? 

Ist es erstmal passiert  und der Virus wurde von Ihnen unwissentlich installiert sind alle ihre Daten in ihrem Bentuzerprofil mit einer Verschlüsselungsstärke von 2048 Bit RSA verschlüsselt. Daher lassen sich diese Dateien nicht mehr öffnen da sie von den Progammen nicht mehr gelesen werden können. Außerdem wird eigentliche Dateiendung um ein .xkdd ersetzt so das die Dateien dann locked-dateiname.doc.iijj oder so ähnlich heißen. Damit verlieren die Dateien ihre Progammzuordnung in Windows und die Dateien werden mit einem weißen Symbol dargestellt. Das X oder W Symbol von MS Office wird nur noch als weißes Blatt angezeigt weil Windows nicht mehr weiß um welches Dateiformat es sich handelt. Viele Programme funktionieren nicht mehr und es erscheinen viele Fehlermeldungen beim Start dessen.

Entschlüsseln kann man diese Dateien nur, wenn man den Schlüssel besitzt, mit der die Dateien verschlüsselt wurden. Ein Schlüssel besteht meist aus einer mehrstelligen völlig sinnlosen langen Zahlen-, Buchstaben-, Sonderzeichenkombination so ähnlich wie )“§($“=!“?§F?=§A)§“823″§!“§ usw.
Bei 2048 bit wäre das dann etwa einer Entsprechnung von 2 DIN A4 Seiten sinnloser Text der exakt bekannt sein muss um die Dateien wieder zu entschlüsseln. Ein schneller Computercluster könnte das wahrscheinlich sogar entschlüsseln, bräuchte dafür aber locker ein paar Jahre Rechenzeit. Daher ist das Hacken des verwendeten Schlüsseln eine reine Illusion. Die Dateien sind ohne bekannten Schlüssel unwiederruflich zerstört!

Besitzen sie ein Netzlaufwerk, Freigabe oder eine externe Festplatte oder USB Sticks? Waren diese zum Zeitpunkt des Befalls mit dem Computer verbunden? Ich hoffe nicht, auch diese werden bei der letzten Variante von trojan.matsnu.1 verschlüsselt. Hier können sie z. Bsp nachlesen wie es Anderen ergangen ist.

Was kann ich tun? 

Es gibt aber Hoffnung! Und zwar ist es unter bestimmten Vorraussetzungen durchaus möglich die Dateien wieder herzustellen. Fehlerfrei sogar. Aber dazu später mehr. Entfernen sie erstmal den Virus. Wie sie das bewerkstelligen lesen sie am besten hier nach. Sichern sie dann alle ihre Daten  ( das komplette Windows Profil! ) auch wenn diese erstmal unbrauchbar sind. Installieren Sie Windows neu und vergessen sie nicht vorher ihre Festplatte C zu formatieren.

Und nun zur Dateiherstellung. Um die verschlüsselten Dateien zu entschlüsseln brauchen wir eine verschlüsselte Datei und die gleiche Datei unverschlüsselt, also die Originaldatei dazu. Wenn sie Backups besitzen werden sie sicher noch die ein oder andere Datei im Original besitzen. Damit ist es möglich die Veränderungen zu analysieren und den Schlüssel zu berechnen. Avira bietet schon ein gutes Werkzeug dafür und ist in der Lage die verschlüsselten Dateien automatisch wieder herzustellen. Sie finden es hier zum Download. Führen sie dieses Tool aus und folgen sie den Anweisungen. Halten sie dafür beide Dateien bereit.

Kaspersky bietet inzwischen auf ein Tool für die Entschlüsselung an welches wohl gut funktionieren soll. Ich habe es nicht testen können, jedoch liest man einiges im Netz das es gut funktionieren soll. Das Tool nennt sich RannohDecryptor und kann bei Kaspersky runtergeladen werden. Eine Anleitung gibt es auch dazu: hier
Einen direkten Link gibt es leider nicht, klicken auf dieser Seite auf das Tool um die Anleitung zu öffnen.

Lesen sie auch die Kommentare unter diesem Beitrag. Dort sind auch noch nützliche Tipps zu finden!

Hilfe, ich hab keine Originaldateien mehr. Kann ich meine Daten trotzdem wieder herstellen?

Was tun wenn sie keine Originaldateien mehr vorhanden sind? Sie haben keine Originale mehr? Sie haben nie einen Backup gemacht oder nie einen USB Stick benutzt? Das ist schlecht. Überlegen sie mal in Ruhe…. irgendwo hat jeder schonmal seine Dateien irgendwo hin kopiert. Haben sie mal jemand Fotos oder Dokumente per Email gesendet oder haben sie welche auf eine CD gebrannt und weitergegeben? Suchen sie in ihrem Freundeskreis nach Daten.

Eine kleine Hilfe zur Dateisuche oder an welchen Orten meist noch Originaldateien zu finden sind:

– ihre Digitalkamera: Suchen sie nach Speicherkarten, deren Bilder sie schonmal auf den PC kopiert haben aber von denen sie wissen, das diese Bilder noch auf der Speicherkarte sind. Dort finden sich meistens noch Originale.

– ihr Handy bzw. Smartphone: Auch damit wird inzwischen häufig fotografiert und die Bilder landen oft in der Handysoftware auf ihrem PC. Nokia hat die OVI Suite mit dem Verlauf, iTunes synchronisiert auch gerne Inhalte auf den PC vom iPhone. Samsung benutzt KIES, auch dort ist mit der Synchronisation einiges kopiert worden. Schauen Sie einfach mal ihre Galerie auf dem Handy durch. Das gleiche gilt für iPods und Musikplayer. Da sowas meist per PC synchronisiert wird hat man dort gute Chancen Originaldateien zu finden.

– Emailverkehr: häufig versendet man Fotos per Email an Bekannte, Familie und Freunde. Benutzt man dafür einen Webmailer befinden sich häufig diese Dateien noch in den gesendeten Elementen. Einfach mal nachschauen was sich dort angesammelt hat. Häufig hat man Erfolg, öffnet die bereits gesendete Mail und kann diese an sich weiterleiten oder den Dateianhang direkt wieder runterladen. Oder lassen sie sich Dateien erneut zusenden die sie  mal erhalten haben.

Benutzen sie Outlook, Thunderbird o. ä. wird es schon schwieriger wenn es sich nur um ein POP3 Konto handelt. Bei IMAP Konten hat man da schon mehr Glück da der Mailserver alle Mails als Kopie beibehält.

 – im Bekannten- und Freundeskreis: Wer hat nicht schonmal für jemand eine CD gebrannt mit den Fotos der letzten Familienfeier. Überlegen sie in Ruhe wem sie schonmal eine CD in die Hand gedrückt haben. Holen sie sich diese zurück. Oft die einzige Möglichkeit nochmal an Originale zu gelanden.

– PDF Dateien: Haben sie verschlüsselte PDF Dateien auf ihrer Platte? Wenn es sich um öffentliche PDFs handelt kann es durchaus sein das sie diese weiterhin auch im Internet als Original finden. Dabei denke ich in erster Linie an Formulare, digitale Handbücher für Geräte, Anleitungen, eBooks, Fachliteratur  usw.

– CD ROMs und DVDs:  Einige Software installiert auch Daten im Benutzerprofil. Haben Sie das vorher auch wirklich komplett gesichert haben sie dort diese Daten in verschlüsselter Form. Installieren sie diese Software erneut nachdem der Rechner neu aufgesetzt wurde und dann sollten die meisten Programmdaten im Original wieder vorhanden sein.

– Ihr Betriebssystem: Wie in div. Kommentaren zu entnehmen ist funktioniert die Entschlüsselung auch mit den Windows Beispieldateien, die in jedem Benutzerprofil installiert wurden. Schauen sie mal in die eigenen Bilder, dort werden immer Beispielbilder mit abgelegt. Diese sind identisch mit jeder Windows Installation und somit ist die Beschaffung der Beispielbilder recht einfach. Entweder haben sie die Bilder nach der Neuinstallation wieder in ihrem ursprünglichen Ordner oder sie besorgen sich diese Bilder von einem anderen Rechner, der das gleiche Betriebssystem installiert hat. (Danke für den Tipp, der mit einem Kommentar zu mir kam)

Viel Erfolg bei der Suche und der anschließenden Entschlüsselung.

Intention: Sehr viel Zeit für mein Blog habe ich zur Zeit nicht. Der Aufwand der durch diesen Virus entsteht ist enorm und es ärgert mich das es tatsächlich Menschen gibt, die auf diese Betrugsmasche reinfallen. Noch mehr ärgert es mich das Programmierer mit kriminellen Absichten solche Ramsonware programmieren. Und noch viel mehr ärgert es mich das eigentlich inzwischen jeder wissen sollte das man unbekannte Emails mit Vorsicht behandelt vor allem niemals Anhänge öffnet.

Dadurch das sicher viele bezahlen werden unterstützt man diese „Seuche“ noch zusätzlich. Ich kann täglich sehen welche Suchbegriffe auf dieses Blog geführt haben, daher kann ich sehen das es tatsächlich Menschen gibt die darüber nachdenken das tatsächlich zu bezahlen. Daher ist dieses Artikel entstanden. Ich hoffe ich konnte sie davon abhalten auf diese Masche reinzufallen.

Prävention: Halten sie ihre Virensoftware auf aktuellem Stand. Scannen sie von Zeit zu Zeit ihren Rechner mit Malwarybytes. Öffnen sie niemals Anhänge in Emails deren Absender sie nicht kennen. Ich konnte einen Fall beobachten, indem Microsofts Securitiy Essentials erfolgreich diesen Virus abgewehrt hat. Inzwischen sollte alle Antivirenhersteller auf diesen Trojaner reagiert haben. Hoffen wir das er sich nicht wie der BKA Trojaner ständig an entdeckte Entfernungsmechanismen anpasst und somit noch schwerer entfernbar oder noch destruktiver wird. Halten sie auch Software auf aktuellem Stand die bekannt dafür ist, daß sie für die Verbreitung von Schädlingen benutzt werden kann. Dazu gehören z. Bsp. ihre Java Installation, Flashplayer und der Adobe Reader. Einfallstore wie Quicktime, Media Player, VLC etc. sollten auch öfters auf Updates überprüft werden. Diese werden nicht oft benutzt, aber ein bereits eingenisteter Trojaner wird auf verschiedenen Wegen versuchen Schadcode nachzuladen. Daher ist ein aktuell gepatchtes System meist wesentlich sicherer als ein ungepatchtes. Benutzen sie keine gecrackte Software. Sie wissen nie was sie sich damit installieren. Viele Cracks sind von Schädlingen verseucht die im Netz zu finden sind. Begehrte Cracks für Adobe Produkte stehen an erster Stelle.

Backups und Datensicherungen: Hat man einen aktuellen Backup seiner Daten ist die Verseuchung höchstens ärgerlich, aber nicht dramatisch. Windows XP hat das Tool ntbackup an Board, Win Vista und Win 7 bringen in der Systemsteuerung die Option „Sichern und Widerherstellen“ mit. Benutzen Sie diese regelmäßig!!! Sie sehen wie wichtig ein aktuelles Backup ist. Damit erspart man sich viel Ärger weil kaum Dateien verloren gehen und man so auf der sicheren Seite weilt. Die Verseuchung an einem Terminalserver konnte ich mit dem täglichen Backup rückgängig machen, es fehlten lediglich zwei Worddokumente der letzten zwei Stunden. Das war nicht dramatisch, das System war nach 45 min. sauber und wieder lauffähig nach der Datenwiderherstellung.

Gescheitert?: Es häufen sich die Meldungen über eine neue, angepasste Version dieses Schädlings. Scheinbar versagen dort die Entschlüsselungsmechanismen die von den Antivirenherstellern bereit gestellt worden sind. Meldungen darüber finden sie auch unten bei den Kommentaren.

Wie beim BKA-, GEMA-, UKASH-Trojaners bereits beobachtet werden konnte, passen die Programmierer dieses Trojaners ihre Programmversion den Entfernungsmechanismen an. Immer wenn eine Lösung im Internet erscheint wird die Trojanervariante angepasst um eine Entfernung bzw. Entschlüsselung der Daten weitgehenst zu verhindern. Die Antivirenhersteller arbeiten wohl mit Hochdruck an einer Lösung und hoffen wir das sie es zeitnah schaffen auch dort die Entschlüsselung zu ermöglichen. Aktuelle Informationen erhält man in Deutschland bei den Antivirenherstellern selbst oder man schaut ins Trojaner-Board. Die Betreiber und Moderatoren dort sind auch extrem kompetent was neue Bedrohungen angeht und sind ständig bemüht Lösungen zu offerieren. Danke an die Betreiber für dieses wirklich gute Forum!

[UPDATE] 21.05.2012

Es hat sich leider bestätigt. Es existieren inzwischen Mutationen des Verschlüsselungstrojaner, die mit der Paar-Entschlüsselung nicht mehr funktionieren. Die Dateien heißen auch nicht mehr locked, sondern werden per Zufallsgenerator  umbenannt, ohne Dateiendung und lauten dann „xdfoeikkd“ oder ähnlich. Das macht die Entschlüsselung nochmal schwerer. Bislang wäre mir kein Tool bekannt womit sich diese Dateien entschlüsseln lassen. Hoffen wir, daß die Cracks zu dem Thema bald ein neues Entschlüsselungstool veröffentlichen können.

Merkwürdigerweise hatte ich auf diesem Blog diverse Versuche entdeckt, den Login zu hacken. Die Versuche wurden aus Rumänien gestartet wie ich aus den Logfiles entnehmen konnte. Ob dies im Zusammenhang mit diesem Blogbeitrag steht lässt sich nicht ermitteln.

Kommentare erwünscht! Aus statistischen Gründen interessiert mich Folgendes:

– wie haben sie sich diesen Virus eingefangen?

– wie lautete die Mail, bzw. der Absender der Email mit der sie sich infisziert haben?

– Wie lautete in etwa der Text, der sie dazu veranlasst hat diesen Anhang zu öffnen?

– Wie haben sie den Virus entfernt bzuw. welche Methoden sind gescheitert

Über Kommentare würde ich mich wirklich freuen und diese helfen auch anderen Lesern dieses Beitrages.
Vielen Dank für ihre Mühe!

Kategorien: Fachliches Geschwätz, MS Windows Server 2008R2 | Tags: alle dateien verschlüsselt, alle daten kaputt, dateien entschlüsseln, dateien umbenannt aber nicht locked, dateiendung weg, dateiname komisch, daten, entschlüsselung, keine entschlüsselung möglich, locked, locked-dateiname.doc.iiii, neue Verschlüsselungsvariante, trojan.matsnu.1, trojaner, trojaner verschlüsselt daten, umbenannt, verschlüsselung, virus | Permanentlink.