Internationale Malware

Seit heute morgen bekomme ich auf meinem Mobiltelefon Anrufe von Firmen aus dem Ausland. Vorzugsweise betrifft es diesmal Österreich und die Schweiz, wir hatten aber auch schon Anrufer aus Ungarn, Irland und Italien dabei.

Was wir jetzt definitiv wissen ist dass es sich bei den Hintermännern von Petya und GoldenEye um Deutsche oder zumindest deutschsprachige Kriminelle handeln muss.

Jedes Kind weiss das man Bewerbungen die man im Ausland einreicht definitiv anders formuliert als bei uns in Deutschland. Zum Beispiel fehlt bei der englischen Bewerbung ein Passbild da dies als diskriminierend angesehen wird. Der Bewerber soll seine Fähigkeiten niederlegen und nicht sein Äußeres. Sowas würde ein Engländer in der Form niemals bei einer Firma einreichen. Auch das neue Anschreiben in der Form passt einfach so nicht.

Ich werde auch dadurch bestätigt dass wir heute relativ wenig Anrufe entgegennehmen mussten, da die Bewerbung so in der Form also einfach recht unglaubwürdig klingt.

@Schadsoftwareentwickler: Ich schlage vor dass Ihr erstmal an einem internationalem Bewerbertraining teilnehmt. 🙂

Zum Beispiel diesem hier: https://www.staufenbiel.de/wirtschaftswissenschaftler/bewerben/internationale-bewerbung.html

oder dem hier:
http://www.e-fellows.net/Karriere/Bewerbung/International-bewerben/Bewerben-im-Ausland

Das ist mal ein Beweis dass man sich einfach in die Bewerbungsproblematik nicht richtig eingearbeitet hat. Nicht nur die Software kann man nicht vernünftig schreiben, auch schlau machen kann man sich nicht wie man internationale Bewerbungen schreibt. Wieder einmal ein weiterer Beweis von mangelnder Fachkenntnis.

Insofern stirbt meine Hoffnung nicht dass man das Pack auch endlich mal erwischt.

Hab’s grad Heise gesehen…

heiseforumfull ACK und der Kommentar war nicht von mir 😉

Ich hab mich gestern Abend nochmal hingesetzt und hab ein Tool zusammengebastelt mit dem sich ein PDF das nicht sauber entschlüsselt wird nach Lösegeldzahlung zumindest die restlichen Seiten (ausser der ersten) wieder lesbar werden.

Das Ding funktioniert zumindest soweit ich weiss auch für die ersten 3 Varianten von Petya ohne Bezahlung des Lösegeldes für die GoldenEye Version allerdings nur nach Bezahlung des Lösegeldes da ja leider die Daten vollständig verschlüsselt werden. Sollte Mischa durch nicht bestätigen des User Account Control Panels zugeschlagen haben geht es leider auch nicht. Aber zumindest ist es ein Strohalm.

Ich hab’s mal auf GitHub hier hochgeladen. Was ich da im Prinzip mache ist einfach das erste KB einer beschädigten Datei durch das erste KB eines validen PDFs zu ersetzen. Ich habe kein Kompilat hochgeladen, werde aber kommendes Wochenende mal ne Exe dafür basteln und die auch online stellen…

 

 

 

Hab auch das hier noch Online gefunden was als Handbuch dient wenn man Opfer eines Erpressungstrojaners wurde. Ich finde da sind ein paar Sachen ganz gut erklärt.

In eigener Sache

Die Firma Pronet bietet Opfern von Krypto Trojanern professionelle Hilfe und ist derzeit dabei ein manuelles Entschlüsselungstool für Dateien zu entwickeln die sich mit gekauften keys mit der aktuellen GoldenEye Version nicht entschlüsseln lassen. Mehr kann man im moment nicht tun. Mehr dazu auf der Seite “Details zur Schadsoftware”.

Des weiteren bitte ich Opfer die das Lösegeld bezahlt haben sich an uns oder direkt an die Polizeidienststelle in Ihrer Nähe zu wenden damit die Bitcoins hinterher zurückverfolgt werden können. Je mehr Leute sich melden desto besser und desto wahrscheinlicher wird es vermutlich sein die Drahtzieher hinter dieser Aktion zu enttarnen. Selbstverständlich behandeln wir Ihre Daten vertraulich. Nur wenn Sie mithelfen können wir die Hintermänner finden!

Dazu einfach eine kurze eMail an GoldenEyePetyaTrojaner@gmail.com senden.

Auch wenn Sie nicht bezahlt haben, aber Opfer des Trojaners wurden würden wir Sie bitten uns zu kontaktieren um uns einen Überblick über die Geschädigten zu verschaffen. Sie können aber auch die Firma Pronet zu kontaktieren.

Goldeneye entschlüsselt auch nicht sauber

Wir haben gerade das Feedback eines Kunden reinbekommen. Trotz Lösegeldzahlung gelingt es ihm nicht an 50% seiner Daten zu kommen da das Programm zum Entschlüsseln nicht sauber arbeitet bzw. die Daten vorher schon durch den Verschlüsselungsvorgang zerstört wurden.

Mein Arbeitskollege hätte da folgenden Kommentar dazu:

Einmal nur mit Profis arbeiten 😉

Wir raten Kunden die vorhaben das Lösegeld zu bezahlen dringend vor der Eingabe des Keys ein Backup ihrer verschlüsselten Platte zu machen. Eventuell kann man dann ja noch irgendwie an die Daten rankommen.

An die Erpresser: Jungs, ganz ehrlich. Ihr habt jetzt 4 Versionen eures Trojaners in den Umlauf gebracht und kriegt es nicht hin dass der Verschlüsselungsprozess und Entschlüsselungsprozess der Daten sauber durchläuft. Vielleicht solltet ihr euch ernsthaft überlegen ob ihr weiter Software in dem Bereich machen wollt. Macht mal ne ordentliche Qualitätssicherung.

 

 

Entschlüsselungsprogramm

pseudoWir haben heute das Entschlüsselungsprogramm der Erpresser in die Hände bekommen. Die Erpresser haben mein Online Pseudonym (Procrash) mit in das Executable gepackt um absichtlich falsche Spuren zu legen (siehe Bild). Warum habt ihr eigentlich nicht noch meine Telefonnummer für Support Zwecke mit dazu gepackt?

Für jeden der das Ding gerne für Analyse Zwecke zugeschickt bekommen möchte bitte ich mir eine kurze eMail zu schreiben.

Für mich sieht das Tool genauso aus wie das Entschlüsselungsprogramm zu Mischa, nur dass es diesmal mein Pseudonym beinhaltet 😉

Ein kurzer check im Executable hat auch ergeben dass nach wie vor der Code z.B. die Windows Crypto Api heranzieht wie es hier beschrieben wurde.

Die Entscheidung den neuen Trojaner dann Goldeneye zu nennen muss wohl nach dem 20.September gefallen sein (siehe Twitternachrichten von Janussec).

Neue eMail Adresse

Um meine eMails bezüglich des Themas Petya und GoldenEye besser auseinanderhalten zu können habe ich inzwischen eine eigene eMail Adresse bei Google eingerichtet.

Für Anfragen zu technischen Details bitte ich mir einfach in Zukunft eine eMail an

GoldenEyePetyaTrojaner@gmail.com

zu senden.

Inzwischen sind auch paar weitere technische Details zur Schadsoftware zu Stande gekommen.

ipad tracker