Hilfe gesucht, dateien von virus mit rc4 verschlüsselt

Kurz gefasst es geht um den matsnu virus, rechner einer bekannten wurde befallen und er hat ca. 4200 bilder verschlüsselt. Datensicherung war so alt das sie nur gut 2000 bilder wieder hat...

habe mich viel informiert und gegoogelt; dank analysen auf dem delphi board und den trojaner board funktioniert er folgendermaßen:
-Erstellen der computer id und kennung
-erstellen eines master schlüssels
-nach hause telefonieren, master schlüssel und kennung senden
-laden von 4 bitmaps und text
-katalog von benutzerdateien erstellen
-schlüssel für jede datei erstellen, verschlüssen (nur die ersten 3 kb, spart zeit), schlüssel in den katalog, datei mit zufallsdaten umbenennen
-katalog mit master schlüssel verschlüsseln, speichern
-regedit, msconfig sperren, abgesicherten modus zerstören, sicherungspunkt erstellen, autostart im run schlüssel
-desktop sperren, UKASH bild (na, wem noch bekannt? ), geld fordern


Jetzt kommt meine rettungs-idee :
Die katalog datei ist so aufgebaut laut marcu auf dem delphi board:

Alter dateiname incl pfad
Neuer dateiname incl pfad
Schlüssel

Alter dateiname incl pfad
.
.

Diese datei wurde ja mit rc4 verschlüsselt. Da aber teile bekannt sind (der erste pfad z.b. C:\Dokumente und Einstellungen\... ) kann man evtl teile des schlüssels errechnen? soweit seit WEP bekannt ist genau hier die schwachstelle des rc4, was ansonsten recht sicher ist.
Vielleicht hat einer von euch ideen, es gibt sogar einige betroffene kleingewerbe auf dem trojaner board gemeldet die sich freuen würden.

Wenn du das Trojaner Bzw Delphi Board aufmerksam gelesen hast, ist dir sicherlich aufgefallen das es so gut wie keine Möglichkeit (außer Bruteforce) gibt, um an den masterkey für die Entschlüsselung zu kommen.

Die Daten kannst du evt noch mit dem shadow Explorer retten.

@ sebhoff, ja, habe alles mitverfolgt, teilweise den virus selbst in einer VM analysiert. es geht mir drum, die schwachstelle des RC4 zu nutzen, da teile des klartextes bekannt sind, das steht auch in meinem letzten absatz.
shadow explorer scheidet aus, da in xp nicht aktiviert worden.

Wenn nur die ersten 3 KB der Dateien verschlüsselt wurden, würde ich Bild-Rettungsprogramm ansetzen, denn viele Informationen sind da nicht verlorengegangen. Es fehlen dann halt ein paar Pixel, aber besser wie gar nichts.

the ubm schrieb:

Wenn nur die ersten 3 KB der Dateien verschlüsselt wurden, würde ich Bild-Rettungsprogramm ansetzen, denn viele Informationen sind da nicht verlorengegangen.

Zum Vergrößern anklicken....

schon versucht, die bilder sind zu klein

Was sind das denn für Bilder? Digitalkamera-Bilder haben ja mehrere MB. Selbst bei einem MB sind 3 KB nur 0,3 %

es sind alles schon verkleinerte bilder, ca. 50 - 200 kb. davon aber eine menge. selbst das kostenpflichtige jpeg recovery scheitert, es ist zu viel info zerstört im dateiinternen jpeg stream.

es geht mir jetzt nicht im die bilder an sich, wäre ein netter nebeneffekt wenn die entschlüsselt werden, die bekannte hat sich schon mit abgefunden.
es geht mir darum wenn wir es schaffen die katalogdatei zu entschlüsseln vielen geholfen werden kann die diese datei noch haben.

Vielleicht hilft dir diese Seite bei der Entschlüsselung der Dateien weiter: http://www.drwebhk.com/en/virus_techinfo/Trojan.Matsnu.1.html#


Siehe auch hier: http://www.pressebox.de/pressemeldungen/doctor-web-deutschland-gmbh/boxid/504965
Direktlink zum decrypt-Tool: ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe