Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Ransomware Helper

11-02-2013, 00:01 door Security Scene Team, 22 reacties
Hi,

dit tooltje wou ik jullie niet onthouden, en met jullie delen.

geschreven door Xylitol (steven k) uit frankrijk, dus Credits naar hem.
t is een programmatje dat kan helpen tijdens het reversen van bepaalde soorten ransomware famillies. (bijvoorbeeld pornviewer, en klpd-ransom) nu is het niet alleen daarvoor bedoeld ik gebruik het ook tijdens het opschonen systemen van klanten.
zo kun je bijvoorbeeld Nagscreens van ransoms weg slepen (is ook erg grappig op n bepaalde manier), zodat je bijvoorbeeld regedit of explorer kunt gebruiken, of 1 van je andere favoriete tooltjes die word geblockeert door de ransom Nagscreen. let wel op: het werkt niet bij alle ransomwares, maar altijd makkelijk bij de hand te hebben.
ik wil jullie wijzen op de programmas die worden gebruikt om files te decrypten of ransoms verwijderen waar je avs falen.
je hebt de volgende mogelijkheden in ransomhelper 1.0:

- Enable regedit, Taskmanager & Cmd.exe
- explorer.exe openen (wanneer uitvoeren via start niet werkt)
- Regedit.exe openen (wanneer uitvoeren via start niet werkt)
- Taskmanager openen (wanneer uitvoeren via start niet werkt)
- Mini-process killer.

voor de exacte werking verwijs ik je naar Xylitols Youtube filmpje wel zo duidelijk:
http://www.youtube.com/watch?v=DNM7Ru8HjNw

Screenshot:
http://imageshack.us/photo/my-images/838/screenlg.jpg/

en ja voor de critici, trendmicro geeft 1 false/positive, dus veilig om te openen:

http://vscan.novirusthanks.org/file/d34711165e1e7d95fe784afe77b9996d/cmFuc29taGVscGVyLXYxLTAtZXhl/

Download:http://speedy.sh/8aZY2/RansomHelper.zip

ook makkelijk is:
http://www.gegeek.com/documents/05786D2017B3372292FA675EE7256207697BA68F.html
Reacties (22)
12-02-2013, 00:32 door Security Scene Team
Nog 'n toevoeging, ik heb 't vluchtig getest in 'n vm en t lijkt te werken. hoewel ik nietveel ervaring heb met dit tooltje.
toch leek het me handig om hier even bij te melden.

't gaat hier dus om 'URAUSY' aka Winlock of winlocker hoe je t noemen wilt. ast beestje maar n begrijpelijke naam heeft.

http://www.softpedia.com/get/Antivirus/Removal-Tools/AntiWinLock.shtml

p.s. ik was benieuwd of (pc reparateurs) weleens MBRlockers zijn tegen gekomen?

let me know :)
13-02-2013, 00:30 door Erik van Straten
Dank voor het melden, maar ik moet wel heel erg in de shit zitten wil ik op de blinde gok iets als http://speedy.sh/8aZY2/RansomHelper.zip gaan downloaden.

Door Security Scene Team: p.s. ik was benieuwd of (pc reparateurs) weleens MBRlockers zijn tegen gekomen?

let me know :)
Wat bedoel je met een MBRlocker?

Er was eens een tijd dat computer BIOSes niet met harddisks > 504MB om konden gaan (veroorzaakt door 512 bytes/sector, 63 sectors/track, 1024 cylinders en 16 koppen per HDD; 63*16*1024*512=528482304 bytes = 504MB waarbij M=1024x1024).

Je kon dan bijv. Ontrack Diskmanager installeren en dan toch schijven tot bijna 8GB gebruiken. Ontrack Diskmanager plaatste een speciale bootloader in de eerste 63 sectors van de schijf. Die bootloader verving de moederbord-BIOS disk access routines, en deed vervolgens of de schijf op de 64e sector begon. Als die driver geladen was kon je met de normale middelen de oorspronkelijke MBR in sector 1, cylinder 0, kop 0 niet overschrijven (sectornummers beginnen, net als onze jaartelling, stom genoeg bij 1 te tellen). Een soort legitieme rootkit eigenlijk.

De Windows 3.x 32bit disk driver (die niet van de 16bit BIOS gebruik maakte) herkende dit Ontrack schema overigens, en telde zelf de offset van 63 sectoren op bij het gevraagde CHS of LBA adres. Ook onder Windows 3.x kon je dan het feitelijke MBR niet overschrijven.

Eerder haalden floppy-bootsectorvirussen vergelijkbare kunsten uit, en er zullen vast wel rootkits bestaan die iets dergelijks op actuele harddisks met actuele Windows versies kunnen doen (anders zou MS niet met UEFI Secure Boot komen, zie ook http://tweakers.net/nieuws/87192/linux-foundation-brengt-bootbestanden-voor-secure-boot-uit.html). Ik vermoed dat TrueCrypt iets vergelijkbaars doet om zichzelf (de bootloader) tegen overschrijven te beschermen op volledig versleutelde system disks.
13-02-2013, 13:38 door Security Scene Team
over die blinde gok, das toch echt jou probleem. mocht je ooit in de shit zitten denk je hier heus wel aan terug. en leer je het tooltje vanzelf waarderen.

verder, een mooi verhaal van je over MBR, maar toch heeft het niks te maken met wat ik bedoel.
die bootsector virusses die jij bedoelt zijn een slechte grap vergeleken met wat ik bedoel. 't blijkt maar weer eens hoe weinig de mensen op security.nl echt weten. hoe dat komt?
ik kan wel een gokje doen, je hebt je certs (vooral de certifiedsecure, das voorgekauwd en uitgespuugde kennis) behaald en denkt alles te weten, vandaar je "uitleg" om te laten zien wat je allemaal wel niet weet. maar feitelijk weet je niets en ben je erg slecht voorbereid op de toekomst. wat ik ook al zei in andere topics mensen in de IT / ICT staan stil, en komen dus met naïve antwoorden. en proberen mij te doen voorkomen alsof ik beweer dat de wereld plat is ipv rond. (je kent de geschiedenis wel neem ik aan.) (dat laatste slaat vooral op je antwoord op het tooltje)

de MBRlocker van wat vandaag de dag regeert,(ik weet dus niet of dit ook in NL is gesignaleert, vandaar mijn vraag dus.) is niets vergeleken met jouw floppy virus troep of ook maar iets van je uitleg.
je kunt dit niet overschrijven, mocht je het proberen overschrijft deze virus zichweer. om 't maar even kort en zo simpel mogelijk uitteleggen.

ik heb iets vergelijkbaars opgezocht, 't voorkomt dat jij uberhaupt iets kunt laden, je windows, je safemode en alle mogelijke opties die jij je nu in je hoofd probeert te halen. tot dat je een code invoert word niets unlocked. mocht je je mbr proberen te overschrijven, weet ook dit virusje daar raad mee. door zichzelf simpelweg terug te plaatsen.

http://www.symantec.com/connect/blogs/ransomware-crimeware-kits

er zijn 'nieuwe' MBRlockers die nog een stukje geadvanceerder zijn dan die genoemd word op de symantec link.
die zijn dus echt nasty, en een nachtmerrie voor de thuisgebruiker.

daarom was ik dus erg benieuwd of mensen dit soort ransomwares gesignaleert hebben in nederland. tijdens het repareren van klanten hun pctjes of bij vrienden thuis etc..

blijkbaar niet.. tot die tijd dat het wel gebeurt leer jij 't tooltje en de andere tooltjes die ik indetoekomst nog ga delen echt wel waarderen.
ik ben hier om te helpen en niet om jouw shit pc te infecteren.
13-02-2013, 14:12 door [Account Verwijderd]
[Verwijderd]
13-02-2013, 14:44 door Security Scene Team
Miriam,

ik denk dat je ondertussen wel bekend bent met Winlocker. je windows word opslot gezet, en je kunt feitelijk niets meer dan betalen. of de winlocker handmatig proberen te verwijderen als je dat kunt of iemand in je omgeving hebt die dat kan. (screenlocking is een beter woord, en de 1e 24bytes worden gecrypted van sommige bestanden)... via Ransom Helper tooltje ben je instaat om deze screenlock waar de code gevraagt word weg te slepen, zodat je IE of FF kunt gebruiken, en ben je instaat om via ransom helper Regedit, uitvoeren, taskmanager te starten via een omweggetje, dat voor geprogrammeert is in ransom helper. ook heb je muli-locker maar goed ook dat word een 'de wereld is rond ipv plat' verhaal. dus daar ga ik ook verder niet meer op in.

MBR (master boot record) locker zet compleet je pc opslot door nog een stap verder te gaan dan winlocker.
je kunt je pc aan doen, alleen word je pc niet doorgestart naar windows maar krijg je een schermpje te zien waar een code gevraagt word om je master boot record van het slot te halen. om een beter voorbeeld te geven, ik denk dat iedereen wel bekend is met Full harddisk encryptie van Truecrypt. als je dat hebt gedaan met truecrypt word er ook een code (password) gevraagt. als je niet de juist wachtwoord op geeft word je pc niet verder geladen naar windows en kunje eigenlijk niks.

zo dus ook met Mbrlocker. het 'nasty' gedeelte van mbrlocker is, dat je eigenlijk geen mogelijkheid hebt om je MBR te overschrijven ook niet dmv een backup. vooral met OEM schijnt dit een probleem dit zijn. 't is mogelijk als je hier veel kennis van bezit, en de malware de info van je partitie table bewaart. maar ook hier geld 'nasty' als je iets verkeerd doet word alles corrupt en kan je t net zo goed bij t grofvuil zetten.

MBRlocker komt voor in zuid amerika, maar groeit ook in populairiteit. aangezien dr geen cracked builders zijn is het voor veel mensen nog niet mogelijk om dit te gebruiken en zelf zo'n botnet op te zetten. eigenlijk is het ook weer geen botnet het kent geen C&C zoals Winlocker dat wel heeft. 't maakt dus ook het traceren nog moeilijker.

't blijkt dat hier geen mensen zijn met enige kennis hier over, of dit zijn tegen gekomen. mijn nieuwschierigheid was alleen gerezen omdat ik veel actief ben op reversing forums om hier mee over te leren, en hoe dit eventueel tegen te gaan.

tot die dat dat het wel voor komt ik nederland llijkt het me beter om dan hier over verder te gaan, want mensen staan hier alleen maar klaar met -1 's omdat ze het simpel weg niet snappen. netzoals dat toen winlocker nog niet bekend was en ik hier ook vragen overstelde in 't forum tijden terug. toen werd ik ook al voor gek verklaar. maar goed tot die tijd, succes ermee Mensen.


voor de wel geinteresseerden meer gedetaileerde info op:
http://www.securelist.com/en/blog/208188032/And_Now_an_MBR_Ransomware

ps. de ransomware die genoemd word in de bovenstaande link, is een oude versie er bestaan versies die wel gebruikmaken van rsa 1024 en aes 256 crypto algortihms voor bestands encryptie.
13-02-2013, 15:06 door [Account Verwijderd]
[Verwijderd]
13-02-2013, 15:23 door Security Scene Team
Door Miriam4711: Dank je SST,

Het is mij nu iets duidelijker geworden en de eendjes, geef ik meestal oud brood is niet belangrijk verder.
Weet wel door eigen ervaring dat de MBR heel belangrijk is en problemen kan geven.
Had een keer een dualboot linux en een illegale windows auto activeted geen crack, linux beviel me niet en eraf gehaald en fixboot en mbr toe gepast, anders startte windows niet meer op.
Was gelijk niet meer te activeren maakt een nieuw ID aan vermoedelijk, bij mijn gekochte OEM versie lukte het wel om de boot en mbr te fixen.

Yep maar dat zal waarschijnlijk niet om n mbr ransomware gegaan zijn. en over de eendjes met oudbrood voeren. ik snap watje bedoelt, maar aangzien mensen dit niet snappen, leek het me wel zo goed om de oudere basis dingen te laten zien. als je dat gaat snappen, zulje de nieuwen veel beter snappen. als je weet waar het vandaan komt.

't is jammer dat we op security.nl geen prive berichten kunnen sturen, anders had ik je door verwezen naar 'n reverse engineerders forum. waar nieuwe samples van de ransomwares te vinden zijn en de builders inclusief tutorials en uitleg over de Mbrlockers enzovoorts. 't is me opgevallen met Winlocker dat het beter is om dit niet publiekelijk kenbaar te maken, aangezien er mensen zijn die het leuk vinden de cracked builders te downloaden en voor n boost voor hun portemonnee te gebruiken. zoals je ook ziet met ZeuS en Spyeye die zijn overal te downloaden met hun plugins en al. Scriptkiddies zetten het op en maken veel geld buit.

ik kan me voorstellen dat MBRlockers dan nog gewilder zouden zijn, aangezien de makers dan nog lastiger te traceren zijn.

in iedergeval ik hoop dat deze topic mensen aan het denken heeft gezet en zelf onderzoek gaan doen.

bedankt,

en succes.
13-02-2013, 15:58 door Erik Loman
Een MBR locker is eenvoudig te omzeilen met HitmanPro.Kickstart.
Zie optie [1] Bypass Master Boot record.
http://www.surfright.nl/images/kickstart11.png
13-02-2013, 18:45 door Security Scene Team
Yep wil ik je wel eens zien doen met een nieuwe variant. wanneer je opstart mogelijkheden zijn geblockeert dmv cd/dvd. dat zijn oude versies van enkele jaren terug (logich dat die nu aangepakt kunnen worden door hitman of dergelijke tooltjes) denk is na wat ik verteld heb over de encryptie. Oké je hebt de mbr weten te omzeilen via je wondertooltje, en dan? heb jij je bestanden terug?

boven water blijft staan of je dat ook lukt met versies die daadwerkelijk gebruikmaken van 1024bit of 256bit crypto.

iedergeval leuk om te zien dat je bezig bent met onderzoek, nu nog de nieuwe versies.

succes!

overigens, waarom kunnen jullie het niet hebben als ik iets probeer te introduceren en op weg te helpen waar jullie klaarblijkelijk geen weet van hebben? vaag hoor.

p.s. wil je een sample om te proberen in een VM? probeer dan je wonder tool hitman kickstart :) weet zeker dat je terug komt op je woorden. de recente sample is van 29 januari 2013 en doet zich voor als "Sex video.avi.exe" een heel ander soort mbrlocker als de oude versie van jou. en kan alleen met succes je bestanden terug krijgen van encryptie als je de juiste code hebt gekocht.
13-02-2013, 20:50 door fluffyb53
Je betoog lijkt wel AES encrypted. :-)
13-02-2013, 23:32 door Erik van Straten
Door Security Scene Team: die bootsector virusses die jij bedoelt zijn een slechte grap vergeleken met wat ik bedoel. 't blijkt maar weer eens hoe weinig de mensen op security.nl echt weten. hoe dat komt?
ik kan wel een gokje doen, je hebt je certs (vooral de certifiedsecure, das voorgekauwd en uitgespuugde kennis) behaald en denkt alles te weten, vandaar je "uitleg" om te laten zien wat je allemaal wel niet weet. maar feitelijk weet je niets en ben je erg slecht voorbereid op de toekomst. wat ik ook al zei in andere topics mensen in de IT / ICT staan stil, en komen dus met naïve antwoorden. en proberen mij te doen voorkomen alsof ik beweer dat de wereld plat is ipv rond. (je kent de geschiedenis wel neem ik aan.) (dat laatste slaat vooral op je antwoord op het tooltje)
Pilletje vergeten?

Bashen kan ik ook, maar dan op basis van feiten:

http://speedy.sh/8aZY2/RansomHelper.zip: download vanaf een file sharing site. Ik kan niet achterhalen wie dit geüpload heeft, noch of er iets in gewijzigd is t.o.v. de versie die ooit hier: http://xylitol.free.fr/RansomHelper.zip stond.

RansomHelper.zip: 4 / 44 (Kingsoft, Rising, TrendMicro, TrendMicro-HouseCall):
https://www.virustotal.com/file/0088ea3c999bb3420bda689750564d2f24dcacbd106d36431c0804b5d967cdcc/analysis/1360791842/

RansomHelper v1.0.exe: 6 / 45 (K7AntiVirus, McAfee-GW-Edition, Rising, TheHacker, TrendMicro, TrendMicro-HouseCall):
https://www.virustotal.com/file/90a2e5e21353ba624ebc9e42de4ec2b5ffdd8d2cd2da5eea1dd8efe3c6e3d957/analysis/

RansomHelper v1.0.exe.upx-unpacked: 2 / 46 (Comodo en MBAM):
https://www.virustotal.com/file/bf626a2e6f517b53c54fbb3079d31e70c9048b61c021a6a7ae2163d107d76065/analysis/1360789755/

Het zou best in alle gevallen om false positives kunnen gaan, maar wie bewijst dat?

RansomHelper is ruim 2 jaar geleden (2011-01-17) in Visual Basic 6.0 (uit 1998) geschreven. De meegeleverde msvbvm60.dll (versie 6.0.97.82) stamt uit 2004.

De auteur verwijst in http://www.xylibox.com/2011/01/ransomhelper-10-malware-auto-downloader.html naar http://xylitol.free.fr/RansomHelper.zip maar de site xylitol.free.fr bestaat niet meer.

Behoudens bovengenoemde pagina verwijst de auteur nergens op zijn site meer naar dat tooltje. Op zijn main page (http://www.xylibox.com/) verwijst de auteur, onder het kopje "Ransomware Unblocker", echter wel naar:
- Kaspersky Unblocker
- VirusInfo (kav) Unblocker
- Dr.Web Unblocker
- Eset Unblocker

Maar ja, feitelijk weet ik niets en ben erg slecht voorbereid op de toekomst, sta stil en kom met naïeve antwoorden. Gelukkig heb ik wel een dikke huid.
14-02-2013, 00:34 door [Account Verwijderd]
[Verwijderd]
14-02-2013, 00:35 door Security Scene Team
@ Eric van straten

je weet duidelijk niet waar je het over hebt, te veel certified secure gelezen. blijf je zelf vooral voorhouden hoe goed je wel niet bent. en welke feiten bedoel je? ik heb dr nog niet een gezien? omdat jij niet kunt aantonen wie dat heeft geupload? ik zal 't je vertellen, die upload komt van mij. de link waar het vandaan komt is 'n private reverse engineering forum, waar kneusjes zoals jij niet toegestaan zijn omdat je nergens verstand van hebt, tot je n artikel op security.nl of n spelletje op certified secure van speelt. 't zijn harde feiten voor jou, op basis van certified secure onderzoek, dat je google kunt gebruiken kijk ik al erg van op. maar hier zijn geen certified secure spelletjes van he? dus snappen zulje het niet tot dat je hier in de toekomst een artikeltje over leest op security.nl haha :)

je durft niet eens in te gaan op de sample die ik je voor gesteld hebt, te bang om gezichts verlies te lijden?

c'mon proof your self en wees niet zon lafaard, en probeer het is je komt hard op je woordjes terug vriendje.

of weetje niet hoe het werkt? n ransom testen in een vm?

Succes verder. (over dikkehuiden gesproken)


tot dat je n zinnig antwoord post zal ik hier niet meer op ingaan, tenzij je besluit het is te proberen, kom op noob neem je kans probeer het en misschien leer je eens iets. ik wacht, en zal je n sample geven.
14-02-2013, 00:39 door Security Scene Team
Door fluffyb53: Je betoog lijkt wel AES encrypted. :-)

klopt, omdat je duidelijk niet snapt waar dit overgaat. precies zoals het ging met winlocker voor het bekend werd bij jullie speurneuzen. boekenwurm mentaliteit.
14-02-2013, 00:54 door [Account Verwijderd]
[Verwijderd]
14-02-2013, 00:58 door [Account Verwijderd]
[Verwijderd]
14-02-2013, 01:03 door Security Scene Team
Door Miriam4711:
De opleiding voor ICT moet wel heel pittig zijn als ik dit allemaal lees.

als hij dit op zn opleidinkje had gehad, had hij niet zulke dwaze uitingen gedaan, nee dit krijgen ze niet voorgekauwd op hun opleidinkje al denkt hij alles wel zon beetje te weten. door n beetje google speurwerk te doen. bewijzen van false/positive kan hij ook al niet eens, zegt genoeg. 't is makkelijk om het te runnen in bijv vmware, met ollydbg ernaast. 'n screenshot te maken van z'n bevindinkjes, zo zou hij kunnen aantonen dat het om false/positive gaat. maar meneer vind het overduidelijk beter om google te gebruiken voor z'n "harde bewijzen" lol echt super ict opleiding, maar nee nogmaals dat leren ze daar niet. of hij heeft liggen slapen tijdens zijn les ofzo? ik weet niet maar denk toch echt het eerste, tja ieder zijn vak he.
14-02-2013, 01:07 door Security Scene Team
@ joey van hummel & mirian4711 gelijk heb je ook. ik geef 't op ze zoeken t maar uit.

Google is your friend erik! remember it.
14-02-2013, 01:07 door [Account Verwijderd]
[Verwijderd]
14-02-2013, 10:40 door Mysterio
@Security Scene Team: Wat doe jij verschrikkelijk agressief en wat reageer jij arrogant zeg! Je noemt even tussen neus en lippen door of iemand wel eens heeft gehoord van een MBR-locker en vervolgens verwacht je dat iedereen meteen op jouw 'verheven' denkniveau zit en een nieuw soort supervirus vreest?

Punt 1: MBR lockers zijn oud nieuws. Als jij iets meer 'voorgekauwde' kennis had, dan had je dat geweten.

Punt 2: UITERAARD zijn er nieuwe varianten van oud nieuws. Nieuw nieuws om het zo te noemen. Zoverre niets om wakker van te liggen. De manier waarop machines besmet raken is nog steeds vrij ouderwets en zolang daar niets nieuws in wordt gevonden maak ik me geen zorgen.

Punt 3: Je hebt een handig tooltje aangeboden. Daarvoor dank.

We zitten hier niet om elkaar te bashen. http://speedy.sh ... ik hoop dat je begrijpt dat dit niet heel vertrouwd klinkt.
14-02-2013, 10:52 door Erik Loman
Door Security Scene Team: ... Oké je hebt de mbr weten te omzeilen via je wondertooltje, en dan? heb jij je bestanden terug?
En dat lukt dus wel met jouw tool?

Door Security Scene Team: p.s. wil je een sample om te proberen in een VM? probeer dan je wonder tool hitman kickstart :) weet zeker dat je terug komt op je woorden. de recente sample is van 29 januari 2013 en doet zich voor als "Sex video.avi.exe" een heel ander soort mbrlocker als de oude versie van jou. en kan alleen met succes je bestanden terug krijgen van encryptie als je de juiste code hebt gekocht.
De RSA encryptie krijg je onmogelijk van de bestanden af, maar je komt je PC wel weer in en de malware wordt netjes verwijderd door HitmanPro. Ook de nieuwste varianten, zoals deze:
https://www.virustotal.com/nl/file/68f26acb72778720121514e071d2c01bd99c10282e4fc43114b109bf439e53e4/analysis/1360835097/
14-02-2013, 18:33 door TestingSoftware
Door Security Scene Team: Yep wil ik je wel eens zien doen met een nieuwe variant. wanneer je opstart mogelijkheden zijn geblockeert dmv cd/dvd. dat zijn oude versies van enkele jaren terug (logich dat die nu aangepakt kunnen worden door hitman of dergelijke tooltjes) denk is na wat ik verteld heb over de encryptie. Oké je hebt de mbr weten te omzeilen via je wondertooltje, en dan? heb jij je bestanden terug?

boven water blijft staan of je dat ook lukt met versies die daadwerkelijk gebruikmaken van 1024bit of 256bit crypto.

iedergeval leuk om te zien dat je bezig bent met onderzoek, nu nog de nieuwe versies.

succes!

overigens, waarom kunnen jullie het niet hebben als ik iets probeer te introduceren en op weg te helpen waar jullie klaarblijkelijk geen weet van hebben? vaag hoor.

p.s. wil je een sample om te proberen in een VM? probeer dan je wonder tool hitman kickstart :) weet zeker dat je terug komt op je woorden. de recente sample is van 29 januari 2013 en doet zich voor als "Sex video.avi.exe" een heel ander soort mbrlocker als de oude versie van jou. en kan alleen met succes je bestanden terug krijgen van encryptie als je de juiste code hebt gekocht.


@Security Scene Team,'

Ga vooral niet agressief worden want dat heeft dus geen enkele zin.

Je bijdragen aan het tooltje 'Ransomware Helper' is een goeie zaak, maar hoe zou je dat programma kunnen gebruiken als men al geïnfecteerd is met een ransomware dat ook in de veilige modus verschijnt?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.