Einige Schädlinge und ihre Auswirkungen im Detail
Troj/GpCoder-F
Der erste Ransomware-Schädling, der auf eine starke Private-Public-Key-Verschlüsselung gesetzt hat, war GpCoder. Dieses Programm nutzte einen zufällig generierten synchronen 256-Bit-AES-Schlüssel, welcher wiederum mit einem öffentlichen 1024-Bit-RSA-Schlüssel codiert wurde. Der private Schlüssel zum Entschlüsseln bleibt bei dieser Methode beim Angreifer. Kommt Gp- Coder zur Ausführung, verschlüsselt er eine Vielzahl von Dateien auf dem System, vermeidet allerdings solche Dateien, die für das Betriebssystem notwendig sind. Nachdem der Trojaner die Dateien verschlüsselt hat, legt er in jedes Verzeichnis eine Textdatei mit Instruktionen für den Nutzer. Dieser soll zwei kleine verschlüsselte Dateien an eine E-Mail-Adresse senden und, nachdem die Zahlung abgewickelt wurde, Informationen zur Wiederherstellung der Daten erhalten.
Mal/EncPk-AEM
Dieser Trojaner nutzt den RC4-Algorithmus zur Verschlüsselung von Dateien. Der Schlüssel wird nur einmal erstellt und für alle Dateien angewendet. Dadurch ist es durch den Vergleich einer un- und einer verschlüsselten Datei möglich, den Schlüssel zu recherchieren und alle Dateien auf dem Rechner wieder herzustellen. Bei genannter Ransomware werden zum Beispiel die ersten 0x1000 Bytes von nicht systemrelevanten Dateien verschlüsselt und die Dateien im Anschluss umbenannt. So wird aus locked.<ursprünglicher dateiname>.<zufällige vierstellige dateierweiterung> zum Beispiel locked. Gehalt052013.docx.hsgh. Einige Anbieter von Sicherheitslösungen bieten bei diesen Schädlingen spezielle Programme zur Entschlüsselung an. Diese ändern dann auch die Dateinamen wieder in die ursprüngliche Form. Die Kriminellen haben aber schnell erkannt, dass dieser Ansatz angreifbar, sprich reversibel ist, und entwickelten entsprechend stärkere Verschlüsselungsmethoden.
Mal/Ransom-U
Dieses Programm nutzt die sogenannte Cryptographic API, um einen RC4-Schlüssel zu erstellen. Dieser wird anschließend durch einen Pseudo-Zufallsgenerator und weitere Systeminformationen ergänzt. Der Trojaner kopiert sich unter einem zufälligen Namen in ein Unterverzeichnis von %APPDATA%, sperrt den Task Manager und löscht die Safe-Boot-Einträge in der Registry. Dann versucht das Programm, die Verbindung zu einem Command&Control-Server aufzubauen, der die Verschlüsselung auf dem Rechner des Opfers startet. Ist dieser Vorgang erfolgreich, werden die 0x3000 Bytes von nicht systemrelevanten Dateien mit einem individuellen Key verschlüsselt. Dieser wird in einer Datei zusammen mit dem Dateinamen gespeichert. Im TEMP-Verzeichnis des Rechners wird eine <machineid>.$01 Datei erstellt, die das Forderungsbild enthält, das dem Nutzer bildschirmfüllend angezeigt wird. In der Datei <machineid>.$02 wird der Key gespeichert, mit dem die jeweiligen Dateien verschlüsselt wurden.
Die folgenden Informationen werden genutzt:
A: Drive Volume Serial number
B: Benutzername
C: Computername
D: Konstante -> QQasd123zxc
E: Konstante -> &udhYtetdh&76ww
Diese Konstanten werden aus beschriebenen Informationen gebildet:
<MachineID> -> besteht aus A:, C: und D:
Key1 -> MD5 von MachineID, B: und C:
Key2 -> Key2 ist ein MD5-Wert von einer zufälligen Zeichenkette die zwischen 30 und 61 Buchstaben hat und um E: ergänzt wird.
Zur Verschlüsselung der Dateien wird der Key1 genutzt. Mit Key2 wird Key1 erneut verschlüsselt und in der Datei <MachineID>.$02 gespeichert. Key2 wird vom Trojaner BASE64 entschlüsselt und an den Command& Controll-Server geschickt. Anschließend wird der Key2 auf dem Rechner des Opfers gelöscht. In diesem Fall ist es nicht möglich, die Dateien zu entschlüsseln, ohne in Besitz von Key2 zu sein. Mit etwas Glück findet sich aber im Proxy Logfile folgender Eintrag, der die Kommunikation mit dem Server zeigt:
GET /cgi-bin/a.php?id=9064EA414D4158454C50&cmd=lfk&ldn=47&stat=CRA&ver=400001&
data=02KrMKN4HKBUcs%2BTHx%2BGXQp2tuQeQ%2FIXj9hor2pIEGg14YiB%2FalifonTXTXdtDUA HTTP/1.1\r\n.
Ist dieser Eintrag vorhanden, lassen sich theoretisch alle Dateien wieder herstellen, denn der Wert hinter id= ist der BASE64-kodierte Key2.
![[ALTText]](fileadmin/_migrated/pics/13-3-006-1.jpg)
![[ALTText]](fileadmin/_migrated/pics/13-3-006-2.jpg)
