Einzelnen Beitrag anzeigen

pcnberlin

Registriert seit: 28. Mai 2012
16 Beiträge
 
#86

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 29. Mai 2012, 23:43
@Marcu
Ja, ich meinte den Teilschlüssel mit ssh am Ende . Den findet man im entsprechenden Dump, ist also statisch.

Delphi-Quellcode:
CryptAcquireContext(@hProv, nil, nil, PROV_RSA_FULL, CRYPT_VERIFYCONTEXT);
CryptCreateHash(hProv, CALG_MD5, 0, 0, @hash);
CryptHashData(hash, @pw[1], Length(pw), 0);
CryptDeriveKey(hProv, CALG_RC4, hash, 1, @key);
CryptDestroyHash(hash);
.
.
CryptDecrypt(key, 0, True, 0, Buffer, @len);
.
.
Könntest du bitte nochmal nachprüfen, ob ich da recht habe?
Ich werde heute Nacht nicht mehr dazu kommen, den Debugger anzuwerfen und Deine Aussagen nochmal zu prüfen, das kostet leider ja auch einiges an Zeit und die Malware-Domains sind auch gerade alle down. Aber ich glaube mich zu erinnern, dass die Reihenfolge der Funktionsaufrufe sowie die Funktionen selbst passen. Aber um das jetzt noch mal genauer anzuschauen fehlt mir gerade die Zeit.

Vergiss nicht die Seriennummer der Festplatte deines Kunden aufzuschreiben und zum Image der Festplatte zu legen, pcnberlin. Für die Entschlüsselung der Daten wird diese Nummer sehr wahrscheinlich gebraucht.
War zum Glück Windows 7 & die wichtigen Daten alle auf C, so dass alles so weit gerettet werden konnte

Ich hoffe, morgen zu etwas mehr zu kommen,

lg
  Mit Zitat antworten Zitat