Der Verschlüsselungs-Trojaner II
Kenne deinen Feind – dies hat auch bei der Bekämpfung von Trojanern und der Beseitigung von deren Hinterlassenschaften Gültigkeit. Tausende von Dateien mit dem Namen locked.[Dateiname].[4 zufällige Zeichen] galt es wieder in ein lesbares Format zu entschlüsseln, geholfen hat mir dabei das Tool RannohDecryptor von Kaspersky.
Benötigt werden, und das ist bei einem befallenen System schon mal der Knackpunkt, zwei gleiche Dateien, einmal verschlüsselt und einmal unverschlüsselt, damit das Tool daraus den Key berechnen kann. Glück für mich war, dass sich auf der zweiten Partition noch Programme und Treiber befanden, die der Hersteller im Falle einer Neuinstallation bzw. Systemwiederherstellung vorsorglich dort hinterlassen hat. Mal sehen, über die Treiber war da nichts zu machen, da sich dort ältere Versionen befanden und sich von der Herstellerseite nur neuere Versionen runterladen ließen. Bei den Programmen sah es ähnlich aus, ich war schon am Verzweifeln, bis ich auf ein DirectX-Verzeichnis stieß. Na also, da ist doch was zu machen, DirectX hatte ich noch auf einer meiner zahlreichen Heft-DVDs, und ein Vergleich ergab, dass dxnt.cab und locked-dxnt.cab.dxxt die selbe Dateigröße hatten.
Damit lässt sich doch arbeiten, also ließ ich testweise den RannohDecryptor mittels dieser beiden Dateien einen Schlüssel berechnen und damit ein Verzeichnis mit verschlüsselten Dateien entsperren. Der Test im Kleinen war erfolgreich, und ich konnte die Erkenntnisse daraus auf den Rechner meines Bekannten übertragen (Decryptor sowie verschlüsselte und unverschlüsselte Datei auf einen USB-Stick kopieren). Mittlerweile hat das Tool 36.000 Dateien (dieser kleine digitale Drecksack war fleißig) entschlüsselt, und ein Ende ist noch nicht in Sicht. Damit ist jedenfalls ein großer Teil meiner Arbeit erledigt, für den Rest werde ich mir viel Zeit lassen und mich jetzt noch ein wenig in die Sonne setzen.
Du hast noch keine Kommentare.
Der tägliche IT-Wahnsinn 
Hinterlasse einen Kommentar