Hi Joh,
Zitat:
so... aus 2 Tagen wurden 3 Wochen ;-(
Geht mir ähnlich. Die RC4-Verschlüsselung ist mittlerweile eine freizeitfüllende Beschäftigung für mich geworden. Dabei wollte ich mir anfangs nur ein paar Resturlaubstage vertreiben
Zitat:
habe heute erst die Platte bekommen. Und ScheiXXe, 36000 gelöschte Dateien, aber keine $03 darunter.
In temp stehen:
5CB41BEA4D4F48545341.$02 => 2.523.050 Bytes, Datum 1.6. 18:35
5CB41BEA4D4F485453416854.$ => 1048 Bytes, Datum 1.6. 18:30
5CB41BEA4D4F485453416854 => 1048 Bytes, Datum 2.6. 15:49
Wenn ich alles richtig verstanden habe, sollte die Datei aber 5CB41BEA4D4F48545341.$02 heißen und auch im $user\temp-Verzeichnis liegen (gelegen haben).
Ganz genau so ist es. Mit mehr Glück hättest du eine gelöschte $03-Datei finden können, welche im $user\temp-Verzeichnis lag. Dann hätte man den Dateien wenigstens ihren Orginalnamen zurückgeben können. Ohne die $03-Datei geht nicht einmal das.
Im Anhang ist das Programm "Decrypter" mit dem man unter anderem die $03-Datei entschlüsseln kann. Schade dass es bei dir jetzt nicht zum Einsatz kommen kann. Die $02-Datei, um die sich alles dreht, ist leider immer noch nicht zu entschlüsseln und die anderen Dateien sind unwichtig, da der Virus die nur zum abspeichern der Paycodeeingabe und ähnliches benutzt.
Tut mir leid - es gibt momentan nichts was dich auch nur den kleinsten Schritt weiterbringen würde.
@Alle
Mit RC4 beschäftige ich mich momentan sehr viel. Immerhin lässt sich ja durch Auslesen einer unveränderten Opferfestplatte der Inhalt der $02-Datei zu einem sehr großen Teil rekonstruieren. Die Größe des Anteils ist individuell, aber bei normalem Benutzerverhalten ist dieser höher als 70%. (Ein nicht normales Benutzerverhalten wäre in diesem Zusammenhang das Abspeichern aller Dokumente, Bilder etc. im Root-Verzeichniss - also direkt unter "c:\")
Die Frage ist ob man mit einer Plaintext-Attacke auf RC4 die Bruteforce-Suche so begrenzen kann, dass man doch noch in vernünftiger Zeit ein Ergebnis bekommt. Damit man darüber nachdenken kann ist es sinnvoll direkter mit RC4 umzugehen als es die CryptApi erlaubt. Im Quellcode von Decrypter habe ich RC4 auf möglichst leicht lesbare und verständliche Weise implementiert. Die vom Trojaner eingesetzte CryptApiverschlüsselung ist zu dieser Implementation kompatibel. Ich war bereits viele, viele Stunden auf der Suche nach einer Lösung, aber ich lande ständig wieder in einer Sackgasse. Um zu erkennen ob und wie man 70% bekannten Inhalt ausnutzen kann, braucht es einen der schlauer ist als ich es bin.
Der RC4-ALgorithmus ist sehr einfach und kurz. Im angehängten Decrypter habe ich alles zusammengeschrieben was man zum Einstieg brauchen könnte. Im Anhang befindet sich auch eine $02-Datei (verschlüsselt und unverschlüsselt + dazugehöriges Passwort und andere Testdateien).
Falls sich jemand damit beschäftigen möchte, würde ich mich sehr freuen und alles zuarbeiten was mir möglich ist.
Viele Grüße
Marcu