[Allegro] neue variante des UCASH-Virus (aka gema,bka,bundespolizei) hat allegro-datenbank zerstört (kleiner erfahrungsbericht)

Klaus Lehmann lehmann_klaus at t-online.de
Do Jun 7 14:56:07 CEST 2012 

Guten Tag

info über den virus:
seit 1-2 wochen weiss man etwas über die neueste variante des 
UCASH-viruses. das ist erstmal dieser virus, der den rechner so richtig DICHT 
macht, und den benutzer um €100,- erpresst: vorwurf einer straftat 
(KiPo, illegale downloads, terrorismus usw.). 
wer auf den deal eingeht, und die 
€100,- via UCASH-zahlsystem bezahlt, ist leider selbst schuld, der 
registrierungsschlüssel, den er beim bezahlen bekommt, ist nichts 
wert. ein gang zum pc-fachmann wird dann fällig. alles leider ganz 
normal.

ok. soweit so gut. soweit so normal. nicht der rede wert, es hat 
allegro NIE betroffen.

seit 1-2 wochen habe ich gehört/gelesen, es gibt den UCASH mit einer 
verschlüsselungsvariante. ups. 
er solle die daten, die er findet, unbekannt verschlüsseln. 
das wäre böse. 
hoffentlich findet die antivirus-industrie rechtzeitig gegenmaßnahmen. 
dachte ich so....



HEUTE passierte die katastrophe!
================================
die peter-sodann-bibliothek wurde davon befallen!
alles weg. alles kaputt. so der erste eindruck.
a99.exe ist nicht aufrufbar. die datenbank-dateien heissen alle so:

im verzeichnis \cat sieht es so aus. eine katastrophe!
> 07.06.2012  08:40        11.122.688 locked-cat.aex.tspj
> 07.06.2012  08:40           175.104 locked-cat.api.aqhv
> 07.06.2012  08:40           552.586 locked-cat.log.yzep
> 07.06.2012  08:40        10.341.164 locked-cat_1.ald.xbuq
> 07.06.2012  08:40               836 locked-cat_100.ald.kxry
> 07.06.2012  08:40        14.533.216 locked-cat_200.ald.htyl
> 07.06.2012  08:40        14.383.721 locked-cat_201.ald.wvbf
> 07.06.2012  08:40         8.273.127 locked-cat_202.ald.clsw
> 07.06.2012  08:40               125 locked-cat_240.ald.ndze
> 07.06.2012  08:40            55.245 locked-cat_244.ald.dekn

im programm verzeichnis 1und! anderswo gibt es kaum eine datei, die 
ihren normalen namen behalten hat. (fast) alle heissen sie 
locked-*.*PLUS punkt.vierbuchstaben.

alle(!) diese dateien haben einen anfänglich UNLESBAREN inhalt.
was tun?
datensicherung? 
ja, wenn man eine aktuelle von gestern hätte.....
die letzte ist 7 tage oder sogar 21 tage her.....

ein anderer weg muss her....:
kasperksy, avira und noch eine (deutsche ) firma hatten in letzter 
zeit "decrypter"-tools für genau diesen virus bereitgestellt.
jaaaaa.... nur sie funktionieren nicht! diese tools sind NICHT in der 
lage, ohne einen schlüssel, die locked-dateien zu "entlocken".
man solle sich so einen schlüssel selber erstellen, indem man eine 
alte (mindestens 4mb große) datei sich hernehme, und diese mit einer 
(mindestens 4mb großen) locked-datei "vergleiche". das procedere ist 
sehr mühsam. jedenfalls: es hat nicht geklappt! der grund könnte sein: 
die ald-dateien haben einen binären inhalt auf den ersten 4-6 stellen. 
mist&merde/co! jetzt ist der hundehaufen am dampfen! (man sagt es 
etwas direkter in berlin...)


mein weg, um die katastrophe ungeschehen zu machen:
===================================================
die programmumgebung wiederherzustellen ist das geringste programm. 
neue allegrovesion aus der allegroWerkstatt rauf, und schwupps. 
a99.exe bringt uns zum strahlen.
aber die datenbank?
adx,api,stl usw. sind uninteressant! in den ald-dateien liegt unser 
stoff!
wenn man sich die locked-ald-dateien mal genauer anschaut, wird man 
erkennen, der virus hat den ersten (ca!) 1-20 zeilen NUR(!) den garaus 
gemacht. alles andere scheint(!) wolhbehütet in der locked-datei 
vorzuliegen. nachdenken. denken. nach.....

wir haben eine alte datensicherung.
vergleichen wir doch mal den jeweiligen alg(!)-abzug auf den ersten 50 
zeilen. und voila. das ist die lösung!
aus den locked-dateien (nur die ald's) habe ich mittlerweile alg's 
gemacht, die ersten 1-20 zeilen entfernt. aus den alten ald's der 
datensicherung habe ich mir alg's gemacht. aus diesen alg's hole ich 
mir die fehlenden 1-20 zeilen, montiere sie in die locked-alg's rein. 
und voila habe ich hoffentlich(!) den datenbestand vom zeitpunkt, 
bevor UCASH alles lockte.
na klaro: aus den alg's muss man dann noch ald's machen. ein kinderspiel.



nehmen sie das als kleine anleitung, wie man bei der 
verschlüsselungsvariante vom UCASH-virus vorgehen kann.
vielleicht gibt es auch in absehbarer zeit einen decrypter, der auch 
allegro-dateien entchiffriert. vielleicht....



was natürlich für die kollegen jetzt zu tun ist:
1. alle rechner auf viren untersuchen! (das kann nur ein fachmann, das 
aktive und längst installierte virusprogramm KANN ES NICHT, sonst wäre 
ucash nicht durchgekommen!!!)

2. kontrolle der datensätze, die man/frau in den letzten 2-3 wochen 
erzeugt/gelöscht/geändert hat.

3. meine erste sichtkontrolle hat erstmal keine probleme ergeben.

das war ein interessanter vormittag....

viele grüße,
Ihr klaus lehmann

-- 
Mit freundlichen Grüßen,
Ihr Klaus Lehmann
* http://allegronet.de * eMail: allegronet at t-online.de * phone: 03528-452 807(fax 809) * mobil: 0171-953 7843
* allegronet.de * Klaus Lehmann * D-01454 Radeberg * Kleinwolmsdorfer Str. 37
* Software für zufriedene Bibliothekare: 1000x bewaehrt und ergiebig
* Bereits 4x allegro-utf8. Buchen Sie die allegro-Roadshow
* Yes we can. Only with allegro. Yes we do. Always with allegro.
* Internetkataloge & WebHosting für Allegro-C & Web 2.0 with VuFind
* 2011: Sponsor der Peter-Sodann-Bibliothek (Staucha)
* 2012: mit allegro-utf8 V3 und allegro-vufind auf der IFLA in Helsinki

Mehr Informationen über die Mailingliste Allegro