AGB  ·  Impressum  







Anmelden
Nützliche Links
Registrieren

Verschlüsselungs-Trojaner, Hilfe benötigt

Ein Thema von Michael Habbe · begonnen am 18. Mai 2012 · letzter Beitrag vom 29. Mai 2016
Antwort Antwort
Seite 11 von 34   « Erste     91011 121321     Letzte » 
Foren-Tage 2017
DIE Konferenz für Delphi-Entwickler mit vielen Vorträgen und ganztägigen Workshops, veranstaltet u.A. von der Delphi-PRAXiS und Embarcadero.
21.-23. September 2017 in Hamburg · Mehr Infos unter forentage.de.
Benutzerbild von EWeiss
EWeiss

Registriert seit: 16. Okt 2010
4.191 Beiträge
 
Delphi 2010 Architect
 
#101

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 2. Jun 2012, 17:50
Zitat:
aber es käme evtl. auf einen Versuch an, sich die 100 EU zu teilen
Eigentlich nicht mal der Text wert den ich hier schreibe.
Wie kann man nur ansatzweise an soetwas denken und glauben damit erfolg zu haben.

Es wird ganz deutlich gewarnt niemals Dateien öffnen die man nicht selbst angefordert hat. (Oder den Absender kennt)
Niemals auch nur einen cent bezahlen.

gruss
  Mit Zitat antworten Zitat
markusg

Registriert seit: 22. Mai 2012
28 Beiträge
 
#102

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 2. Jun 2012, 19:04
ich rate jedem vom bezahlen ab.
1. kenne ich leute dies versucht haben, da ging dann trotzdem nichts.
2. weist du auch hinterher nicht, ob die dir vllt noch was nettes hinterlassen was dann deine bankdaten zb ausspäht.
3. sinds dann jetzt vllt "nur" 100 €. beim nächsten mal kommts dann per drive by download und kostet 200 € etc.
nüchtern betrachtet ist das nun mal ein geschäft. setzt sich dieses modell durch, durch genügend zahlende nutzer, dann wird sich das halten und vermehren.
wichtiger ists erst mal, dass ihr alle, die ihr betroffen seit, ne anzeige macht, je wichtiger die polizei diese arbeit nimmt, desto höhere stellen arbeiten daran und desto mehr kompetenzen haben diese natürlich international.
was dann dabei helfen könnte die server die verwendet werden zu beschlagnamen etc.
  Mit Zitat antworten Zitat
pcnberlin

Registriert seit: 28. Mai 2012
16 Beiträge
 
#103

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 2. Jun 2012, 19:15
@Marcu

Du hast aber auch ein bischen einen Dickschädel, oder? Das find ich prima, ich nämlich auch Ich hoffe, Du findest noch etwas raus, war heute leider wieder sehr eingespannt & würde aktuell auch gern weiter debuggen. In welche Datei schreibt er denn, diese 1kb im temp? Ich bin gespannt auf Neuigkeiten, auch wenn Sie negativ sein sollten. Es ist halt auch sehr interessant, zu verstehen wie die Dinger funktionieren. Good Luck!

@ThomasN
Ja, ich hatte auch erst gedacht, dass es sich um den alten handelt, aber später wird der Artikel eindeutiger und was da beschrieben wird, trifft auf unseren Kandidaten zu.

@RMC
Das Problem an diesem Vorschlag ist nicht unbedingt die Zahlung der 100€. Wenn sich damit wirklich etwas ableiten ließe, ok. Dem wird aber sehr sicher nicht so sein, denn bisher sieht es so aus, dass die Malware das Modell einer symmetrischen Verschlüsselung so zusagen in ein semi-asymmetrisches Modell überführt. Auf dem PC wird demnach ein Schlüssel generiert, der aus mehreren Teilen besteht. Mit diesem Schlüssel bzw. Ableitungen hiervon wird dann verschlüsselt und ein Teil des Keys an die C&C-Server übertragen, aber vermutlich nicht auf dem PC gespeichert. Prinzipiell könnten wir also auch herausbekommen, wie der Schlüssel selbst generiert wird und können sogar die Dateien auf einem Debugging-Rechner wieder entschlüsseln. Das Problem sind aber die Rechner, auf denen die Verschlüsselung schon durch ist, denn hier fehlt dann der Teilschlüssel, der zudem Zufallswerte enthalten kann, die sich nicht "zurückrechnen" lassen. Wenn der Trojaner also nicht den ganzen Schlüssel auf dem PC hinterlassen hat, war es das.

@markusg
Wie sah denn die Netzwerk-Kommunikation bei der alten (locked-...) Variante aus, hat der Trojaner da ähnlich agiert?

@all
Jemand aus der Schweiz anwesend? Weil ein whois horad-fo.com u.a. hier hin führt: 84.72.41.161.
  Mit Zitat antworten Zitat
Benutzerbild von Aphton
Aphton

Registriert seit: 31. Mai 2009
1.198 Beiträge
 
Turbo Delphi für Win32
 
#104

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 3. Jun 2012, 02:30
Kann mir bitte einer (min) 5 verschlüsselte (kleine) Dateien zukommen lassen?
Sofern möglich, wäre es auch hilfreich, die unverschlüsselten Dateien dazuzupacken!

Ich habe eine Idee bzgl. der Verschlüsselung, werde sie aber nur dann äußern, wenn ich sie bestätigen kann...
Bitte trotzdem keine Hoffnungen machen; sry
das Erkennen beginnt, wenn der Erkennende vom zu Erkennenden Abstand nimmt
MfG

Geändert von Aphton ( 3. Jun 2012 um 02:37 Uhr)
  Mit Zitat antworten Zitat
RMC

Registriert seit: 2. Jun 2012
5 Beiträge
 
#105

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 3. Jun 2012, 09:41
Hallo Aphton,

ich habe beim Recherchieren eine Originialdatei und die dazugehörige verschlüsselte Datei noch gefunden, welche ich Dir hier zukommen lassen kann. Leider ist es eine persönliche Datei, die ich hier nicht posten möchte - kannst Du mir eine E-Mailadresse geben? Die verschlüsselte Datei (qtXqGdaqguLQdeGTAtfX) kann ich hier gar nicht 'hochladen', sie wird nicht 'erkannt', könnte sie höchsten zippen.

Es ist vom Fall her genau der neue Verschlüsselungstyp den ihr sucht. Ich habe ihn mir am 31.05.12 'eingefangen'. AVIRA hatte nichts gemeldet - erst am 01.06. wurde etwas erkannt - poste ich hier!

Der Trojaner hat alle Dateien 'hinter' dem Userverzeichnis meines Firmennamens (Excel, Word, jpg, etc. ...) verkryptet.
Unter http://www.kaspersky.com/downloads/free-antivirus-tools gibt es zwei neue Randsom 'Entkrypter' die leider für unseren Fall (noch) nicht funktionieren.

Malware Virus hatte bei mir den TROJAN.AGENT.RNGGen und TROJAN.FAKEAlert gemeldet. Ferner noch Hijack.Zones - poste Dir das Ding mal zu.

Ich seh' mal zu, daß ich noch ein paar Orginaldateien zu den verschlüsselten Dateien finde auf meinem Backupsystem - die schicke ich Dir ebenfalls per E-Mail zu.

Interessant ist, daß die verschlüsselte Datei die selbe Größe hat, selbiges Datum, jedoch eine Stunde 'älter' ist.
Übrigends - ich hatte die Systemwiderherstellung in Windows aktiviert. Es gab jedoch einen Wiederherstellungspunkt mehr auf meinem System!!!!!

Hab' mich selbst schon etwas an die Sache herangetastet und mal mit einem Debugger die Sache angesehen - allerdings gehen meine Programmiererfahrung auf die späten 80er zurück - wenn Jemand hier erfolgreich ist, und ich meine geschäftlichen Daten wieder entkrypten kann, lass ich 'was springen an den Entwickler - das ist schon 'mal sicher!!

Grüße

RMC
Miniaturansicht angehängter Grafiken
avira-screen.jpg   mwrmc-screenshot.jpg  
  Mit Zitat antworten Zitat
RMC

Registriert seit: 2. Jun 2012
5 Beiträge
 
#106

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 3. Jun 2012, 09:52
Zitat:
aber es käme evtl. auf einen Versuch an, sich die 100 EU zu teilen
Eigentlich nicht mal der Text wert den ich hier schreibe.
Wie kann man nur ansatzweise an soetwas denken und glauben damit erfolg zu haben.

Es wird ganz deutlich gewarnt niemals Dateien öffnen die man nicht selbst angefordert hat. (Oder den Absender kennt)
Niemals auch nur einen cent bezahlen.

gruss
Liess 'mal meine Beiträge richtig, bevor Du so antwortest! (...auch nicht 'mal ansatzweise meine kostbare Zeit Wert, Dir überhaupt zu antworten!)

Danke

RMC
  Mit Zitat antworten Zitat
RMC

Registriert seit: 2. Jun 2012
5 Beiträge
 
#107

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 3. Jun 2012, 10:47
Kann mir bitte einer (min) 5 verschlüsselte (kleine) Dateien zukommen lassen?
Sofern möglich, wäre es auch hilfreich, die unverschlüsselten Dateien dazuzupacken!

Ich habe eine Idee bzgl. der Verschlüsselung, werde sie aber nur dann äußern, wenn ich sie bestätigen kann...
Bitte trotzdem keine Hoffnungen machen; sry
Hallo Aphton,

also - habe noch sehr viele Orginaldateien auf meiner Backupplatte passend zu den verschlüsselten Dateien gefunden.

'Gerichtet' habe ich Dir jetzt eine ZIP mit div. WORD,EXCEL,JPG,PDF,DB, etc. Dateien.
Evtl. 'baut' sich die Verschlüsselung auf unterschiedliche Dateiarten unterschiedlich aus - deshalb mehrer Dateiformate.

Wie gesagt - es sind persönliche, geschäftliche Daten. Ich mache Dir eine entsprechend persönliche Nachricht hier im Forum mit meiner E-Mailadresse, damit Du mir Deine schicken kannst. Das Ergebnis posten wir dann anschließend wieder hier öffentlich - ist das okay?

Grüße

RMC

.....

Ach noch 'was - bei der Durchsicht von Orginal- zu Verschlüsselungsdateien ist mir aufgefallen, daß dies mit der unterschiedlichen Uhrzeit (eine Stunde älter bei der verschlüsselten Datei) doch nicht stimmt! Die Dateiproperties sind bei mir alle identisch!

Die Idee, daß bei unterschiedlichen Dateiformaten unterschiedlich verkryptet wird kam mir beim betrachten mit meinem Debugger - ich kann mich aber auch täuschen....

Grüße

RMC

Geändert von RMC ( 3. Jun 2012 um 10:53 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von EWeiss
EWeiss

Registriert seit: 16. Okt 2010
4.191 Beiträge
 
Delphi 2010 Architect
 
#108

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 3. Jun 2012, 12:17
Zitat:
Liess 'mal meine Beiträge richtig, bevor Du so antwortest! (...auch nicht 'mal ansatzweise meine kostbare Zeit Wert, Dir überhaupt zu antworten!)
Führe doch einfach keine Dateien aus dann kannst dir sparen überhaupt was zu posten.
Dummheit schützt for Strafe nicht.

Ohh jetzt bekomme ich wieder was auf den Deckel.

gruss

Geändert von EWeiss ( 3. Jun 2012 um 12:21 Uhr)
  Mit Zitat antworten Zitat
Daniel
(Administrator)

Registriert seit: 30. Mai 2002
Ort: Hamburg
13.968 Beiträge
 
Delphi 10.2 Tokyo Enterprise
 
#109

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 3. Jun 2012, 12:40
Führe doch einfach keine Dateien aus dann kannst dir sparen überhaupt was zu posten.
Du bist auf dem falschen Pfad - leider mit sehr agressivem Tonfall. Es ging bei den 100 EUR nicht darum, doch irgendwas "Lustiges" zu erhalten, sondern im Rahmen einer kontrollierten Maßnahme den Schlüssel zu dem eingangs genannten Problem zu erhalten.

Aus der Diskussion gewinne ich den Eindruck, dass die hier anwesenden haargenau wissen, was sie tun und womit sie es zutun haben. Es geht gewiss nicht um das leichtfertige Ausführen "irgendwelcher" Dateien.
Daniel R. Wolf
Admin Delphi-PRAXiS
mit Grüßen aus Hamburg
>> http://forentage.de
  Mit Zitat antworten Zitat
Benutzerbild von blawen
blawen
Online

Registriert seit: 30. Nov 2003
Ort: Luterbach (CH)
275 Beiträge
 
Delphi 10.2 Tokyo Professional
 
#110

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 3. Jun 2012, 14:24
@all
Jemand aus der Schweiz anwesend? Weil ein whois horad-fo.com u.a. hier hin führt: 84.72.41.161.
Ja.
Die IP 84.72.41.161. gehört gemäss whois zum Provider UPC Cablecom und bei horad-fo.com meldet whois einen eintrag in China.
Roland
  Mit Zitat antworten Zitat
Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche
Ansicht

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 19:54 Uhr.
Powered by vBulletin® Copyright ©2000 - 2017, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2017 by Daniel R. Wolf