@Heise

Ich habe mir gestern Abend mal die Videoaufzeichnung von Heise bezüglich des neuen Erpressungstrojaners angesehen und ich muss sagen ich war schon sehr erbost über die schlechte Recherche der Redaktion.

  1. Es handelte sich bei der Aktion von den Erpressern eindeutig um eine Racheaktion. Wieso sollten Sie Erpresser sonst den Namen meines Schwiegervaters auf dem Bewerbungsschreiben verwendet haben?
  2. Der Einwand vom nickenden Kollegen dass es sich ja eindeutig und ganz klar deshalb um keine Racheaktion handeln würde weil die Erpresser aufs Geld aus wären passt ja eigentlich gerade noch mehr dazu. Wir entzogen der Einnahme ja die Grundlage.
    Übrigens @JanusSec: Da muss gefälligst nicht der Name meines Schwiegervaters in das Bewerbungsanschreiben rein, sondern mein Name: Wolfgang Meyerle, Arcosstrasse 5, 86633 Neuburg an der Donau und natürlich die Telefonnummer 017636343915. Ich würde mich nämlich auch mal ganz gerne als Maler, als Fliessenleger und als sonstwer bewerben. Vorzugsweise aber dann nicht nur innerhalb Deutschlands, sondern eher auch international. Man will ja seine sprachlichen Fähigkeiten auch zum Einsatz bringen können und irgendwie find ich es auch verdammt unfair dass nur mein Schwiegervater diese netten Anrufe und Briefchen bekommt und ich leer ausgehe! Ich hätte nämlich auch ganz gerne mal ein bisschen Post. Außerdem hatte ich die ganze Arbeit und hab mir die Nächte um die Ohren geschlagen nur um eure murksige Software zu flicken damit ihr die dicke Kohle einstreichen könnt, da habt ihr komplett den falschen getroffen. Da kann man froh sein dass ihr nur Schadsoftware entwickelt. Auf dem normalen Arbeitsmarkt kann man solche Leute doch nicht gebrauchen. Übrigens als Bewerbungsfoto würde ich dann an eurer Stelle auch besser dann was aktuelleres von mir nehmen. Wie wärs denn mit dem hier. Dass ist doch ganz nett oder?
  3. Das Dateiformat war meiner Meinung nach absichtlich so gewählt dass bei dieser Aktion nicht viele Leute das Bewerbungsschreiben öffnen konnten. Viele haben bei uns angerufen dass sie die Dateien nicht öffnen können und wir deshalb nochmal die Unterlagen in einem PDF oder ähnliche Format zuschicken mögen.
  4. Sehr gut waren auch Briefe von Unternehmen die lauteten: Leider müssen wir Ihnen mitteilen dass wir uns nach eingehender Prüfung Ihrer Unterlagen für einen anderen Kandidaten entschieden haben. Das hoffen wir natürlich nicht! Das wäre an dieser Stelle ja schon fast so gut recherchiert wie das Heise hier gemacht hat🙂
  5. Weder Heise, noch Golem wollten zum damaligen Zeitpunkt als wir eine Lösung für Petya anbieten konnten einen Artikel über das vorhanden sein einer Lösung zur Entschlüsselung berichten. Vermutlich weil man ja für seine Arbeitszeit zumindest einen symbolischen Wert entgegennehmen wollte. Jetzt als man den Schaden hat wird dann falsch recherchiert und berichtet. Spitze! Presse halt mal wieder. Trotzdem enttäuschend für ein Fachblatt mit dem Ruf und dieser Größe.
  6. Wie wäre es denn wenn Unternehmen für Bewerber einfach eine Online Seite einrichten in denen der Bewerber dann seine Daten textuell eingeben muss. Ist zwar bescheuert für den Bewerber aber für die Firma ist sowas sicherer als jeden Mist per eMail entgegenzunehmen. Für Bewerber könnte man die Datenübernahme von Jobportalen oder ähnlichem anbieten und somit hätte der Spuk recht schnell ein Ende. Problematisch sind halt immer wieder die KMUs die sich solche IT Infrastrukturen nicht Leisten können und häufig auch kein Personal für so etwas haben.

Eine frühe Analyse des Trojaners hat inzwischen folgendes ergeben:

  • Im Gegensatz zur letzten Version benötigt der Trojaner keinerlei Einwillung (bis auf die Aktivierung des Makros in Excel) um den Schadcode auf den Master Boot Record der Festplatte zu packen. Es wird also eindeutig eine Privelege Escaltion durchgeführt. Die Betriebssystemhersteller müssen hier handeln!Einzige Ausnahme: Ist die User Account Kontrolle in Windows auf maximale Sicherheitseinstellungen gesetzt, so wird der Benutzer bei GoldenEye nochmals vor der Infektion vom Betriebssystem aufgefordert eine Ausführung zu bestätigen.(siehe https://twitter.com/hasherezade/status/806546497147981824)Eine Erklärung wie das ganze prinzipiell funktioniert findet man hier: https://enigma0x3.net/2016/08/15/fileless-uac-bypass-using-eventvwr-exe-and-registry-hijacking/
    Dort ist auch beschrieben dass ein setzen der höchsten Sicherheitsstufe im UAC nichts bringt und auch das umgangen werden kann.
  • Auch scheint der Verschlüsselungsalgorithmus im Assembler Code erweitert worden zu sein. Die Verschlüsselung einer Festplatte dauert deutlich länger.
  • Der Code an sich wurde im Master Boot Record deutlich verändert. Ein kurzer Vergleich mit dem Hex Editor hat ergeben dass kein Stein auf dem anderen blieb. Den Erpresser Text der auf dem Bildschirm ausgegeben wurden findet man jedoch noch genauso wie zuvor im Plaintext im Dump.
  • Was ist zu prüfen ist ist ob der Mischa Code der früher schon nicht mehr zu knacken war jetzt teil des Master Boot Record Codes geworden ist und ob Dateiinhalte komplett oder nur teilweise verschlüsselt werden.
  • Auch würde uns der Entschlüsselungsteil interessieren. Gibt man den Key dann einfach ein und GoldenEye entschlüsselt alles im MBR? Oder gibt es noch ein zweites Stage wo dann im Windows Teil entschlüsselt werden muss. Erste Screenshots die ich Online gesichtet habe lassen mich das vermuten. Vielleicht weiss ja einer der Geschädigten mehr und kann uns dazu etwas mitteilen. In der Zwischenzeit versuche ich mal herauszufinden ob der Key nicht vor der Verschlüsselung so wie beim alten Code auf der Platte im Plaintext zwischengeparkt wird.
  • Davon ausgehend können wir eventuell noch Informationen ziehen die wir gerne dazu genutzt hätten die Petya Softwarelösung von uns zu 100% zu komplettieren. Ausserdem kann man dann die Aussage treffen ob das nutzen von Datenrettungstools bei der neuen Variante überhaupt noch Sinn macht.

Bei der Petya Variante konnten wir guten Gewissens dazu raten die Lösegeldsumme nicht zu bezahlen da die Variante die Platte in vielen Fällen nicht entschlüsseln konnte. Wir prüfen dass jetzt auch bei der neueren Variante.

Wir haben auch die Details zur Schadsoftware Analyse Seite geupdatet! Wer also mithelfen oder auf unserer Arbeit aufsatteln möchte sei willkommen.

Update

Heute Abend bin ich endlich dazu gekommen mir eine Sandbox für die neueste Erpressungstrojaner Version vorzubereiten. Man glaubt es kaum wie schwierig es sein kann mal an eine Office Test Version zu kommen nur um sein System mit seinem Erpressungstrojaner zu verseuchen.😉 Vermutlich werde ich morgen dann den Delta Vergleich machen können um mal die alte Schadcode Version gegenüber der neuen Schadcode Version zu vergleichen. Ich hoffe ja dass sich in Punkto Verschlüsselungs / Entschlüsselungsalgorithmus endlich mal was getan wurde und somit eine saubere Verschlüsselung funktioniert. Ich weiss anhand von eigener Einarbeitungszeit dass der NTFS Standard nicht leicht zu lesen ist und man einiges fehlerhaft implementieren kann aber wo blieb denn bitte schön die Software Qualitätskontrolle in der Erpresserabteilung die die Software zertifiziert hat bevor diese an die potentielle Kundschaft verteilt wurde😉
So arbeitet man nicht als Profi. So arbeiten Amateure.

In den nächsten Tagen erhalten wir dann ein Sample einer verschlüsselten Platte. Dann kann ich auch die Aussage treffen ob nicht doch noch was zu machen ist. Als alter Software Entwickler Hase weiss man das Code Updates auch immer potentielle Bug Updates mit sich bringen und vielleicht klappt es ja die Daten von den Platten zu kratzen. Bevor wir aber mit einer Flut an Festplatten überschwemmt werden und wir eh nichts mehr machen können will ich mich erstmal an einem Testkandidaten versuchen.

Sobald ich mehr weiss werde ich dann mal wieder posten…

trace people online online

Seit heute morgen ist wieder eine neue Erpressungstrojanerversion unterwegs. Im Namen meines Schwiegervaters verschickt. Wir bitten alle Empfänger dieser eMail bei der Polizei Strafanzeige zu stellen. Je mehr Leute Strafanzeige erstatten desto besser. Unsere Polizei ist mit viel zu wenig Personal ausgestattet um Cyberkriminellen das Leben schwer zu machen. Da muss was getan werden und das passiert nur wenn genügend Strafanzeigen gestellt werden.

Ich kann nur vermuten dass wir uns einigen Unmut der Erpresser durch unsere Hilfe die wir hier Online angeboten haben auf uns gezogen haben. Was eigentlich nur für unsere Arbeit spricht! Schön zu hören dass im Heise Forum sowas von einem Benutzer so kommentiert wurde. Das freut uns….

Schade dass wir derzeit nicht mit der Bundesagentur für Arbeit zusammenarbeiten. Hier könnten wir derzeit direkt den Kontakt zu potentiellen Arbeitgebern herstellen und die Datenbanken mal auf einen aktuellen Stand bringen.

😉

Nach langer Zeit gibt es mal wieder ein Update. Der Source Code für alle von uns programmierten Tools ist inzwischen wie versprochen auf Github verfügbar. Ich schaue dass ich diese Woche noch das Tool zum Nachentschlüsseln von einzelnen Files fertig bekomme.

Das Tool wird sich vorerst erstmal auf PDF Dateien, Zip Dateien, Excel und Word Dokumente im neueren DOCX und XLSX Format beschränken wird aber dann hoffentlich zügig ausgebaut. Mehr Dateitypen baue ich dann auf Anfrage ein sollte sich der Ansatz bewähren. Ich stelle das Tool dann anschließend im kompilierten Zustand kostenlos online. Als unterstützte Platformen peile ich Windows und OSX an.

Die Untersuchung des Schadcodes hat wie gesagt ergeben dass da leider nichts mehr zu machen ist. Interessierte können aber gerne den Github Quellcode nutzen um die ein oder andere Datei doch noch zu entschlüsseln.

Aufgrund der Anrufflut der letzten Tage mussten wir leider feststellen dass die Version des Petya bei der wir helfen konnten nicht mehr im Umlauf ist. Wir konnten bei allen bisher eingetroffenen Anfragen nur noch die neuere Petya Version feststellen.

Wir können deshalb nicht mehr bei den Neuinfektionen die seit ca dem 16.September im Umlauf sind helfen! 

Sie können feststellen ob Sie die neuere Variante haben indem Sie unseren Petya Sector Extactor von unserer Homepage runterladen sollten Sie zweifel daran haben dass es sich um die neuere Version handelt (was leider sehr unwahrscheinlich ist, da die neue Infektionswelle nur noch mit der neuen Version arbeitet).

Kann Ihre Festplatte nicht vom Programm gefunden werden (“No Petya infected drive found”) so wurde die neuere Variante entdeckt bei der wir nicht helfen können.

Ich versuche zurzeit noch jedem Strohalm der sich uns bietet nachzugehen damit sich dieser Umstand (hoffentlich) noch ändert. Dass es Möglichkeiten gibt ist aber äußerst unwahrscheinlich.

Unsere Empfehlung an die Opfer der Erpressersoftware:

1. Bezahlen Sie auf keinen Fall das Lösegeld! Unterstützen Sie nicht die Verbrecher und deren Geschäftsmodell. Außerdem enthält der neuere Schadcode so wie der alte einen Fehler in der Entschlüsselungsroutine der dazu führt dass Sie Ihre Daten durch den Kauf des Schlüssels in 75% der Fälle mit Sicherheit nicht zurückerhalten. Sie verlieren dann somit Ihr Geld und Ihre Daten.

2. Haben Sie einen Schlüssel dennoch gekauft, die Platte entschlüsselt aber nicht so können wir eventuell noch mit unserem manuellen Entschlüsselungstool helfen, den Schlüssel können wir aber mit derzeitigem Sachstand leider nicht mehr berechnen! Diesen Dienst können wir aber durch den Aufwand der uns entsteht nicht mehr für 50 Euro anbieten. Wir müssen dann von Fall zu Fall entscheiden ob und wieviel Aufwand in die Datenrettung investiert werden muss und erstellen Ihnen aber gerne vorab ein Angebot.

3. Bewahren Sie Ihre verschlüsselten Daten auf. Vielleicht gibt es doch noch eine Möglichkeit früher oder später wieder an Ihre Daten zu gelangen. Nach über einem Jahr haben die Erpresser der Teslacrypt Verschlüsselungssoftware den Master Key veröffentlicht sodass Kunden wieder an Ihre Daten kamen obwohl Teslacrypt wasserdicht programmiert wurde. In anderen Fällen wurden Implementierungsfehler in der Software gefunden die ausgenutzt wurden um verschlüsselte Festplatten wieder entschlüsseln zu können. 

4. Backuppen Sie ihre Daten. Ein Backup ist im Falle einer Infektion mit einem Erpressungstrojaner kriegsentscheidend. Stellen Sie sich vor Sie könnten jetzt einfach ein Backup von gestern einspielen und alles wäre gut! 

5. Für das öffnen von eMails und Dateianhängen von Unbekannten empfehle ich den Einsatz von virtuellen Maschinen. Diese lassen sich auf Knopfdruck wieder in den vorhergehenden Zustand zurückversetzen. 

6. Im Zweifel bietet es sich an den Absender der eMail bevor man die Anhänge öffnet auch erstmal zurück zu kontaktieren. Spamschleudern und Virenverteiler werden aufgrund des Aufwandes und der Problematik der Rückverfolgung kaum auf Ihre Anfrage antworten.

7. Machen Sie sich Gedanken über den Schutz Ihrer IT Infrastruktur. Wir beraten Sie gerne und bieten auch Lösungen an!

8. Helfen Sie mit:

Sie können wiederum mithelfen andere davor zu bewahren von dem Erpressungstrojaner befallen zu werden. Senden Sie mir die eMail zu die Sie erhalten haben und wir leiten diese dann an Anti Virenhersteller weiter damit Betriebssysteme und Anti Virenprogramme den Trojaner vor der Ausführung besser identifizieren können. Geben Sie dazu als Betreff in die eMail einfach Petya Schadcode ein und ich kann dann die eMails vom Posteingang leichter trennen.

Sind Sie selbst Mathematiker, Kryptograph, Informatiker oder Ingenieur und wollen mithelfen vielleicht doch noch an eine Lösung für eine Entschlüsselung zu kommen dann sind Sie dazu gerne herzlich eingeladen. Alles was wir bisher zum Trojaner selbst an Information sammeln und entwickeln konnten stellen wir demnächst auf Github.

Wir versuchen derzeit wirklich alles Mögliche dass wir doch noch zu einer Lösung kommen. Ich habe den Urheber des Kryptographieverfahrens angeschrieben und angefragt ob dieser bereit wäre nach Implementierungsfehlern zu suchen.

Der von den Erpressern verwendete Verschlüsselungsalgorithmus heisst Salsa20 und wurde von D.J. Bernstein im März 2005 entwickelt.

Hinter dem Algorithmus steckt im Prinzip eine Hashfunktion und genau darum wie man von einem gegebenen Output auf den entsprechenden Input schließen kann.

Eine Implementierung davon findet man hier:

https://github.com/alexwebr/salsa20

Ich habe mir mal den Spass gemacht die 4×4 Matrix die bei bestimmten Schlüsselwerten streut zu visualisieren:

https://www.dropbox.com/s/tjadq3pb36emsu1/Screen%20Recording%202016-09-19%20at%2010.31.27%20PM.mov?dl=0

Petya Mischa Green Ransomware

Victim of the green Petya Mischa Ransomware,

We can help. Read how…

Please ensure that you use our software for the Petya Sector extraction. It contains an automatic detection for the new Petya version which came out recently. If it pops up with a dialog window which mentions that the new version is found there’s currently no hope.

Opfer des grünen Petya Mischa Erpressungstrojaners?

Wir können helfen. Lesen Sie wie…

Hintergrund

In letzter Zeit wurde in vielen Medien berichtet dass der Petya Erpressungstrojaner Software von LeoStone gehackt wurde (siehe Erpressungs-Trojaner Petya geknackt, Passwort-Generator – Heise).

Daraufhin haben die Erpresser ihre Software angepasst und eine neue Variante des Schädlings in Umlauf gebracht (mit einem grünen anstatt dem roten Totenkopfschädel), die leider nicht mehr so leicht zu knacken ist.

Trotzdessen kann man von Glück reden dass ihnen dabei doch noch Implementierungsfehler unterlaufen sind. Nachlesen kann man das z.B. ganz gut bei Mailwarebytes (Petya and Mischa – Ransomware Duet (Part 1) | Malwarebytes Labs).

Leider sind auch von der neueren Variante viele Unternehmen betroffen, da sich die Erpresser vor allen in diesem Klientel eine hohe Zahlungsbereitschaft erhoffen.

Wir kennen die Implementierungsfehler der Erpresser und haben einen Algorithmus entwickelt der Ihre Festplatte innerhalb von Tagen entschlüsseln kann.

Da wir uns aber nicht ähnlich wie die Erpresser verhalten möchten, und uns an der Not anderer nicht bereichern möchten, bieten wir die Software aber auch kostenlos auf GitHub an. Einzige Bedingung: Das Programm muss selbst kompiliert werden und darf im Gegensatz zu uns nicht für kommerzielle Zwecke verwendet werden.

Was bedeutet kommerzielle Zwecke

Sollten Sie das Programm selbst kompiliert, ohne unsere Dienstleistung in Anspruch zu nehmen für kommerzielle Zwecke nutzen möchten so kontaktieren Sie uns bitte. Kommerzieller Zweck bedeutet für uns dass Sie Daten dritter gegen Entgeld mit dem Kompilat auf GitHub retten. Retten Sie mit dem Kompilat Ihre eigenen Daten so handelt es sich nicht um einen kommerziellen Einsatz.

Wir stellen diese Bedingung da sich Software nicht von selbst schreibt und entwickelt und auch Software Entwickler von etwas leben müssen.

Wir hoffen aber dass wir Ihnen auf diesem Wege entgegen kommen.

Da wir eine Anfrage diesbezüglich am Telefon hatten…

Wie Sie sich schützen können

  • Trennen Sie Ihre Netzwerkinfrastruktur. Rechner die am Internet angebunden sind, bieten immer ein Einfallstor für Viren und Trojaner. Idealerweise sind Produktivsysteme von Rechnern die am Internet angebunden sind entkoppelt, sodass ein Viren oder Trojanerbefall den Produktivbetrieb nicht beeinträchtigt.
  • Öffnen Sie keine eMail Anhänge von Absendern die Sie nicht kennen. Ich weiss das ist in diesem speziellen Fall schwierig wenn man Bewerbungsunterlagen zugesendet bekommt aber vielleicht wäre für solche Fälle
    • ein eigener Rechner angebracht der nur für diesen Zweck dient Anhänge von unbekannten zu öffnen.
    • ein Rechner mit einem anderen System, wie z.B. ein Linux Livesystem von CD sinnvoll.
    • ein System, dass eingehende eMails automatisch nach Schadsoftware scannt bevor diese an die Mitarbeiter im Unternehmen zur Bearbeitung weiterverteilt wird.
  • Idealerweise besitzen Sie von Systemen von denen Sie wissen dass eine hohe Anfälligkeit oder Ausfallwahrscheinlichkeit besteht Backups (z.B. nachzulesen in der aktuellen c’t Mit Backups (nicht nur) gegen Erpressungs-Trojaner | heise online). Ganz wichtig dabei: Sorgen Sie dafür dass die Backup Systeme von den Systemen die gesichert werden sollen getrennt sind. Eine Backup Platte die vom Erpressungstrojaner gleich mit verschlüsselt oder zerstört wird weil sie mit dem Rechner dauerhaft verbunden war hilft Ihnen im Notfall auch nicht weiter.
  • Halten Sie Ihre Anti Virensoftware auf Stand. Viren und Trojaner passen sich immer wieder auf die aktuelle Sicherheitslage an. Schadsoftwarehersteller testen dies bereits bei der Entwicklung ihrer Tools. Dennoch ist eine Antiviren Software durchaus empfehlenswert. Nicht weil diese verhindert dass ihr Rechner von Viren und Trojanern befallen wird, sondern eher dass sie verhindert dass sie von einer zweiten oder dritten Infektionswelle befallen werden. Was man ganz gut erkennen kann ist dass der aktuelle grüne Petya schon in die Blacklist von vielen eMail Anbietern aufgenommen wurde und auch bereits der Windows Defender die Schadsoftware erkennt.Wir bei uns müssen die Zäune bereits runterfahren und uns allerlei Tricks einfallen lassen dass wir die Festplattensektoren der Kunden empfangen können ohne dass die Virensoftware anschlägt. Haben Sie eine auf Stand gebrachte Virensoftware, so sind Sie sich zumindest sicher dass Sie nicht von einem bereits bekannten Schädling befallen werden können.
  • Halten Sie sich informiert und wichtig: Informieren Sie Ihre Mitarbeiter. Die Sicherheitskette bricht immer beim schwächsten Glied. Um Ihr Unternehmen sicher zu halten empfiehlt es sich ab und an auch einfach mal Phishing Mails oder Mails mit fingierter Schadsoftware an Mitarbeiter zu senden um diese für solche Sachverhalte gezielt zu sensibilisieren. Je nach Unternehmensgröße bieten viele externe Unternehmen solche Dienstleistungen an. Einen Podcast den ich jedem der sich für Sicherheit in der IT interessiert kann ich auch empfehlen: GRC | Security Now! Episode Archive – GRC.com

Wann können wir leider nicht mehr helfen

Nicht mehr helfen können wir Sie die User Account Control des Trojaners mit nein abgebrochen haben und Ihre Festplatte mit dem Mischa Virus verschlüsselt wurde. Sie erkennen dies daran dass Sie den grünen Totenkopf beim booten der Festplatte nicht sehen aber stattdessen einzelne Dateien verschlüsselt wurden, der Rechner also ganz normal bootet.