AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren

Verschlüsselungs-Trojaner, Hilfe benötigt

Ein Thema von Michael Habbe · begonnen am 18. Mai 2012 · letzter Beitrag vom 27. Dez 2017
Antwort Antwort
Seite 21 von 34   « Erste     11192021 222331     Letzte » 
markusg

Registriert seit: 22. Mai 2012
28 Beiträge
 
#201

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 12. Jun 2012, 20:58
ja die server von denen sind vernünftig abgesichert so wies aussieht.
und zwar alle bisher verwendeten cc's
  Mit Zitat antworten Zitat
Daniel
(Co-Admin)

Registriert seit: 30. Mai 2002
Ort: Hamburg
13.920 Beiträge
 
Delphi 10.4 Sydney
 
#202

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 12. Jun 2012, 21:21
Ich sehe momentan echt nur noch mehr das Hacken des CC Servers als einzige Lösung.

Eine Gruppe von mehreren Personen organisiert sich, um in fremdes System einzudringen. ... Das riecht nach ... *schnupper* ... organisierter Computer-Kriminalität.

Leute, das geht nicht. Ich komme als Betreiber dieses Forums in Teufels Küche, wenn Ihr hier einen Plan ausheckt, um einen dieser Server anzugreifen. Aus menschlicher Sicht kann ich Euch verstehen - aber die Planung für einen "Gegenangriff" kann ich hier nicht tolerieren. Ich bitte dafür um Verständnis.
Daniel R. Wolf
mit Grüßen aus Hamburg
  Mit Zitat antworten Zitat
Benutzerbild von Aphton
Aphton

Registriert seit: 31. Mai 2009
1.198 Beiträge
 
Turbo Delphi für Win32
 
#203

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 12. Jun 2012, 21:55
Tut mir echt leid, falls es so aussieht, als ob ne Planung im Gange ist. Ich spreche nur meine Gedanken aus (bzw fasse sie in Worte).
Ich selber nehme eig. am ganzen Thread ja auch nur passiv Teil - ich liefere nur Ideen die ich habe.

Nochmals, sry =/
das Erkennen beginnt, wenn der Erkennende vom zu Erkennenden Abstand nimmt
MfG
  Mit Zitat antworten Zitat
Benutzerbild von Luckie
Luckie

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#204

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 12. Jun 2012, 22:35
Als Moderator dieses Forums würde ich dich bitte, solche Gedanken hier auch nicht öffentlich auszusprechen. Setzt dazu ein eigenes Forum auf oder macht das per Mail. Aber wie schon gesagt bitte nicht hier im Forum!
Michael
Ein Teil meines Codes würde euch verunsichern.
  Mit Zitat antworten Zitat
Benutzerbild von Luckie
Luckie

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#205

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 12. Jun 2012, 23:20
Damit es nicht falsch rüber kommt. Das war nicht als Zurechtweisung gedacht, sondern als Bitte bzw. Hinweis. Man muss da leider etwas vorsichtig sein und lieber etwas zu vorsichtig, weil Daniel am Ende den Kopf für eure Beiträge hinhalten muss. Ist doof, ist aber leider so.
Michael
Ein Teil meines Codes würde euch verunsichern.
  Mit Zitat antworten Zitat
Benutzerbild von Aphton
Aphton

Registriert seit: 31. Mai 2009
1.198 Beiträge
 
Turbo Delphi für Win32
 
#206

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 12. Jun 2012, 23:32
Ich verstehe es ja, Kp.
Deshalb entschuldige ich mich ja..
das Erkennen beginnt, wenn der Erkennende vom zu Erkennenden Abstand nimmt
MfG
  Mit Zitat antworten Zitat
pcnberlin

Registriert seit: 28. Mai 2012
16 Beiträge
 
#207

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 13. Jun 2012, 16:49
Wegen der Hacking-Diskussion:

Ich denke eh nicht wirklich, dass die relevanten Daten auf den Servern liegen, das wäre zu einfach Die a.php ist sicher nur ein Proxy und leitet die Anfragen an einen Server weiter, den wir noch gar nicht kennen, so würde ich das jedenfalls machen, wenn ich sicherstellen will, dass meine Passwörter auch dann noch verfügbar sind, wenn die "öffenlichen" Server hops genommen werden.

@Marcu: Danke für die super Erklärungen & das Bild für die bessere Übersicht!

@markusg: Ja, eine Version 2.X hätte ich gern.
  Mit Zitat antworten Zitat
nahpets
(Gast)

n/a Beiträge
 
#208

Kann man die IP-Adressen nicht wirkungsvoll blockieren?

  Alt 14. Jun 2012, 02:07
Hallo Zusammen,

habe mit dem Problem zum Glück akut nichts zu tuen, habe aber trotzdem mal ein paar Fragen?

Wäre es mögliche alle IP-Adressen, der vom Trojaner genutzen Server, zu veröffentlichen?

Hintergrund: Es wäre damit ja möglich die IP-Adressen per Firewall zu blockieren.
Wie verhält sich in diesem Fall der Trojaner?
Richtet er trotzdem Schaden an oder schlägt die Schadroutine nur zu, wenn er eine Verbindung hat herstellen können?

Greift er über IP-Adressen auf die Server zu oder über die Namen der Rechner, beim Zugriff über den Namen wäre es ja dann auch möglich, die Namensauflösung über die hosts-Datei auf eine andere IP (z. B. 0.0.0.0) umzuleiten, mit der Folge das der Trojaner sein Ziel nicht erreichen kann.

Entsprechende Regeln sollten aber sicherlich in jeder Firmenfirewall hinterlegt werden können, für den Privatanwernder wird es dann etwas schwieriger, da er sich ja selbst mit einer Firwall befassen muss.

Wäre es möglich, dass die Netzbetreiber die IP-Adressen oder die Namensauflösung blockieren?
Mir ist dabei durchaus klar, dass die gelungene Blockierung von Namen und/oder IP-Adressen auch missbraucht werden kann, um damit eine Zensur durchzuführen ala Name und IP von z. B. Google blockieren und wir haben eine "wunderbare" Zensur.

Wenn man in einem Netzwerk mehrere Rechner mit identischer IP-Adresse hat, bekommt man ja durchaus Probleme in Bezug auf die Erreichbarkeit der Rechner. Was passiert, wenn man ins Netz nun weitere Rechner stellt, die permanent verfügbar sind und "zufällig" die gleichen IP-Adressen und/oder Namen haben, wie die vom Trojaner genutzen Server. "Stört" man damit ggfls. nur den Trojaner oder hätte das weitere negative Auswirkungen auf den Datenverkehr im gesamten Netz (also letztlich weltweit)?

Klar ist, dass dies alles den Geschädigten nicht hilft, aber eventuell ließe sich bei Realisierbarkeit des Einen oder Anderen ja der weitere, leider zu erwartende, Schaden verringern.

Alle Texte von Mails, die ich bisher zu dem Trojaner habe lesen können, waren deutschsprachig, ist der Trojaner auf den deutschen Sprachraum beschränkt oder ist der multilingual?
Oder wer verschickt nach welchen Kriterien die Mails, die den Trojaner enthalten? Da scheint sich ja auch jemand zumindest ein paar Gedanken gemacht zu haben, wenn auch mir bisher keine der Mails inhaltlich plausibel erschien. Bei allen Mails waren Formulierungen zu finden (oder Rechnungsoptionen bzw. Preise), die klar auf ein Fake hindeuten, so dass für meine Begriffe bei keiner dieser Mails eine Veranlassung bestand, den Anhang zu öffnen. Aber hier muss man wohl die Leute einfach mal besser und ausführlicher Informieren, das wäre sicherlich was für Quarks & Co. und wie sie alle heißen...

Stephan

PS.: Ich erwarte jetzt keine vollumfängliche Antwort, aber vielleicht lassen sich ja doch Möglichkeiten zur Schadensbegrenzung finden.
  Mit Zitat antworten Zitat
Benutzerbild von sx2008
sx2008

Registriert seit: 16. Feb 2008
Ort: Baden-Württemberg
2.332 Beiträge
 
Delphi 2007 Professional
 
#209

AW: Kann man die IP-Adressen nicht wirkungsvoll blockieren?

  Alt 14. Jun 2012, 07:17
Wäre es mögliche alle IP-Adressen, der vom Trojaner genutzen Server, zu veröffentlichen?
Hintergrund: Es wäre damit ja möglich die IP-Adressen per Firewall zu blockieren.
Die nächste Version des Virus würde dann die Fähigkeit bekommen den Eintrag in der Firewall zu löschen oder die Firewall generell auszuschalten.
Was einen gewissen Effekt bringen würden, wäre ein DOS-Angriff auf die Command&Control-Server.
Man müsste die Server mit Fake-Daten regelrecht zuschiesen.
Problem ist nur, dass dann der Virus so geändert wird, dass er immer einen CC-Server findet.
Die Rechnernamen oder IP-Adressen sind dann nicht mehr hartcodiert, sondern werden von einem ausgeklügelten Algorithmus erzeugt, wie man ihn schon von Botnetzen kennt.
Wenn ein CC-Server gekillt wird stehen schon 5 andere bereit den Job zu übernehmen.
  Mit Zitat antworten Zitat
bombinho

Registriert seit: 4. Jun 2012
Ort: UK
15 Beiträge
 
Turbo Delphi für Win32
 
#210

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 14. Jun 2012, 07:35
Schon richtig, wenn der Ransom keinen Serverkontakt bekommt, verschluesselt er nicht. Das war auch mein anfaengliches Problem.
Der Trojaner sass auf dem Rechner und tat nichts. Bis ich mir den Netzwerkverkehr angeschaut habe und festgestellt hatte das der AV vom uebergeordneten System den Netzwerkverkehr stoerte.

Ich habe den Verdacht, dass da noch ein paar mehr Leute betroffen sind, wo der AV im Moment noch die Aktivierung verhindert.

@Markusg: Jupp, wuerde mir die v2 auch gerne mal anschauen. Seit wann ist die aktiv?
  Mit Zitat antworten Zitat
Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche
Ansicht

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 00:38 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz