Informarion Warning Message XMASW.EXE - Privacy en beveiliging

woensdag 12 december 2012 20:39

Acties:

Verwijderd

Topicstarter

Vanmorgen kreeg ik een Whatsapp bericht van mijn broertje dat de pc bij mijn ouders een rare melding gaf :
Afbeeldingslocatie: http://i48.tinypic.com/2ccm91k.jpg

Afbeeldingslocatie: http://i48.tinypic.com/2ccm91k.jpg

Mijn excuses voor de onduidelijke foto..

Weer zo'n Ukash variant

Heb het bestand er met de Kaspersky Rescue Disk vanaf kunnen halen en inmiddels ook HitManPro , Microsoft Security Essentials en MalwareBytes Anti-Malware erop losgelaten en de ransomware lijkt te zijn verdwenen. Het was XMASW.exe in C:\Users\gebruikersnaam\AppData\Roaming
Nu het volgende , in mijn ogen duidelijk door de ransomware gebeurt ;
Alle bestanden (.docx , .rar. , .jpeg , enz. enz..... ) zijn nu ook nog eens voorzien van de extensie .block
Ik heb geprobeerd om de extensie terug te veranderen naar de oorspronkelijke staat , maar dat zijn de bestanden nog steeds niet te openen.
Natuurlijk hebben ook mijn ouders nog nooit van een back-up gehoord

Weet iemand hoe ik de bestanden kan decrypten en ze zo alsnog kan openen ???

woensdag 12 december 2012 20:49

Acties:

Verwijderd

Heb je de originele malware nog? Dat helpt nogal voor het decryptieproces.

Idealiter stuur je de originele malware samen met een paar encrypted bestanden naar newvirus@kaspersky.com - we zullen decryptie willen implementeren. Ik werk voor Kaspersky Lab.

woensdag 12 december 2012 20:53

Acties:

Verwijderd

Topicstarter

Je bedoelt het originele XMASW.EXE ???
Dit heb ik verwijderd van de pc , misschien dat ik het nog ergens terug kan halen.
Ik kan wel sowieso wel enkele .block files meesturen en de WARNING.txt die in elke gecodeerde map te vinden is. Weet niet of je hier genoeg aan zou hebben ?

woensdag 12 december 2012 22:10

Acties:

Thralas

Verwijderd schreef op woensdag 12 december 2012 @ 20:53:
Je bedoelt het originele XMASW.EXE ???
Dit heb ik verwijderd van de pc , misschien dat ik het nog ergens terug kan halen.

Ja, die bedoelt 'ie. Mocht je 'm vinden, wil ik ook wel even een poging wagen.

Ik kan wel sowieso wel enkele .block files meesturen en de WARNING.txt die in elke gecodeerde map te vinden is. Weet niet of je hier genoeg aan zou hebben ?

Onwaarschijnlijk. Googlen op het emailadres levert slechts enkele hits op. Ook daar zie ik niet zo 123 een sample/hash, helaas.

Het lijkt sowieso een 'nieuwe' variant (waarmee de 'bekende' decryptiontools blijkbaar weinig kunnen). Het feit dat de text rept over AES zou er wel eens op kunnen wijzen dat de malwareauteur z'n best heeft gedaan.

donderdag 13 december 2012 15:52

Acties:

Thralas

Sample gevonden. Dropper: https://www.virustotal.co...bab084ccc54930e/analysis/

- Dropper schrijft payload naar een CreateProcess'ed child van zichzelf
- Payload is geschreven in Delphi, maakt gebruik van aeslib.pas voor crypto.
- Cryptospecs: PBKDF2-HMAC-SHA1 met 1000 iteraties, per-file salt & AES-256-ECB
- PBKDF2-password is 20 characters [a-z0-9] afkomstig van de C&C server

Een brakke cryptolib daargelaten ziet het er redelijk solide uit; decrypten is onmogelijk zonder het password.

Enige mogelijke uitweg die ik nog zie is het feit dat het password dmv. InternetOpenUrlA/InternetReadFile gefetched wordt - zou mogelijk wel eens in de IE cache terecht kunnen komen. EDIT: lijkt er niet op.

donderdag 13 december 2012 20:31

Acties:

Verwijderd

Topicstarter

Enige vooruitgang is geboekt i.m.o. !!
Heb het programma te94decrypt.exe van Dr. Web gebruikt en enkele keys geprobeerd
( 85 , 86 , 88 , 90 , 103 , 106 , 186 , 196 , 256 , 126 )
Elke keer niets gebeurd , tot ik 156 als key invulde en het programma deed er overduidelijk langer over om de in mijn ogen verkeerde sleutel weer te geven.
Na een kleine 5 min. kreeg ik de melding dat alle 4054 files gedecrypt waren.
Klein minpuntje... ; alle bestanden zijn nog steeds niet toegankelijk.
Heb nu wel elke file 2x in de mappen staan. ( Bijv. Plaatje.jpg en Plaatje.jpg.block )
Maar verder nog niets opgeschoten

donderdag 13 december 2012 20:58

Acties:

Thralas

Die tool is ongetwijfeld niet van toepassing voor deze variant. Zoals hierboven beschreven ziet het er naar uit dat je pech hebt

(tenzij je het process niet hebt gekilled sinds de infectie, al dan niet door een reboot; in dat geval zou de key zich nog in het geheugen kunnen bevinden)

EDIT: Toch iets over 't hoofd gezien. Password wordt weggeschreven naar 'Initia1Log.txt' en encrypted naar 'Initia1Log.txt.block'. Echter, beide files worden deleted zover ik kan zien. Als je een van deze twee files weet te vinden (filerecoverysoftware, TestDisk als je een image van de disk hebt) dan zijn alle andere bestanden te decrypten.

[ Voor 37% gewijzigd door Thralas op 14-12-2012 02:07 ]

vrijdag 14 december 2012 13:04

Acties:

LnC

The offending line...

Ik heb hier op de site van Bleeping Computer een draadje gevonden met daarin een tool voor decrypten. Hopelijk heb je er iets aan. De TS op Bleeping Computer was geholpen met die tool.

vrijdag 14 december 2012 16:42

Acties:

Verwijderd

Topicstarter

Heb die site van Bleeping Computer al eerder gezien idd en aan de hand daarvan ook met te94decrypt.exe aan de gang gegaan.
Maar met key "156" wordt alles gedecrypt , maar kan nog steeds niets openen..

vrijdag 28 december 2012 10:20

Acties:

Verwijderd

Topicstarter

Nog steeds helemaal niets kunnen vinden...
Ik heb ondertussen alle gecodeerde bestanden op een usb-stick gezet en de pc opnieuw geïnstalleerd.
Hopend op een werkende encryptie sleutel binnenkort