AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren

Verschlüsselungs-Trojaner, Hilfe benötigt

Ein Thema von Michael Habbe · begonnen am 18. Mai 2012 · letzter Beitrag vom 27. Dez 2017
Antwort Antwort
Seite 24 von 34   « Erste     14222324 2526     Letzte » 
bombinho

Registriert seit: 4. Jun 2012
Ort: UK
15 Beiträge
 
Turbo Delphi für Win32
 
#231

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 16. Jun 2012, 01:19
* er braucht keinen Code um sich selbst weiterzuverbreiten, das erledigt der User hinter dem Bildschirm
(eine Verbreitung im lokalen Netzwerk wäre aber dennoch "sinnvoll" aus Sicht des Trojaners)
Nennen wir das einfach mal "einen netten Zug des Coders". Und verlassen wuerde ich mich da drauf schon gar nicht. Und wenn Du glaubst, sicher zu sein, dann fang mal an deinen Datenverkehr zu loggen.
Mit IPv6 kommt noch richtig Spass auf uns zu.
Mir wurde als allererstes beigebracht, das einzige Tool, dass umfassende Sicherheit fuer deinen Rechner gewaehrleistet, ist der Seitenschneider, konsequent angewendet.

* der Erpressungspotential ist nahezu unbegrenzt - man stelle sich vor der Trojaner dringt in eine Firma aus dem DAX30 ein, verbreitet sich auf eine Vielzahl von Rechnern und verschlüsselt alle Word Dokumente im lokalen Netzwerk und den lokalen Platten
Das DAX30 Unternehmen ohne Admin und Backups und Sicherungsschichten moechte ich sehen. Abgesehen davon glaube ich mich zu erinnern, dass Unternehmen ab einer gewissen Groesse rechtlich dazu verpflichtet sind, die IT mit geeigneten Massnahmen zu sichern.
  Mit Zitat antworten Zitat
Benutzerbild von sx2008
sx2008

Registriert seit: 15. Feb 2008
Ort: Baden-Württemberg
2.332 Beiträge
 
Delphi 2007 Professional
 
#232

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 16. Jun 2012, 13:41
* der Erpressungspotential ist nahezu unbegrenzt - man stelle sich vor der Trojaner dringt in eine Firma aus dem DAX30 ein, verbreitet sich ...
Das DAX30 Unternehmen ohne Admin und Backups und Sicherungsschichten moechte ich sehen. Abgesehen davon glaube ich mich zu erinnern, dass Unternehmen ab einer gewissen Groesse rechtlich dazu verpflichtet sind, die IT mit geeigneten Massnahmen zu sichern.
Und wenn die Backups ebenfalls schon betroffen sind, weil der Trojaner sich nicht per Bildschirmmeldung zu erkennen gibt?
Statt dessen steht im verschlüsselten Teil eine URL; dort kann das Opfer den Erpressungstext lesen.
Die Expressung sieht so aus: zahle 10 Mio und alle Dateien werden binnen einer Stunde restauriert werden oder zahle nicht und du hast einen mehrtägigen Ausfall (was viele Unternehmen an den Rand des Ruins bringt)
  Mit Zitat antworten Zitat
mkinzler
(Moderator)

Registriert seit: 9. Dez 2005
Ort: Heilbronn
39.569 Beiträge
 
Delphi 10.2 Tokyo Enterprise
 
#233

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 16. Jun 2012, 13:46
Im Normalfall sollten normalen Mitarbeitern in einem großen Unternehmen, die entsprechenden Rechte fehlen, bzw. die wichtigen Firmendaten in einem DMS oder änlich abgelegt sein.
Markus Kinzler
  Mit Zitat antworten Zitat
EWeiss
(Gast)

n/a Beiträge
 
#234

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 16. Jun 2012, 14:01
Ich weis nur eins.
Sollten die den jemals ausfindig machen dann wird's teuer für den Burschen.
Und das mit Recht!

gruss
  Mit Zitat antworten Zitat
deraddi

Registriert seit: 7. Jun 2012
16 Beiträge
 
#235

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 16. Jun 2012, 19:00
Hab mir grad die neueste Version in einer VM mit Procmon angeschaut, interessant... nun connected sie nach China in einer Uni in Beijing:
http://www.robtex.com/ip/219.218.160.80.html#ip
Er nutzt nun auch laut Procmon sehr intensiv die Windows CryptoAPI...

Wer die Version haben will, kann mich gerne anschreiben. Avira hat sie bekommen, das Trojaner Board auch schon.

Edit: Er scheint nun auch die Netzwerkumgebung zu scannen. Also wird er jetzt noch gefährlicher...

Geändert von deraddi (16. Jun 2012 um 19:05 Uhr)
  Mit Zitat antworten Zitat
Haubentaucher

Registriert seit: 16. Jun 2012
2 Beiträge
 
#236

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 16. Jun 2012, 21:39
Hallo zusammen,

bin aus aktuellem Anlass auf das Board aufmerksam geworden...
Habe großen Respekt vor der Hingabe und dem persönlichen Einsatz, mit der hier an dem Thema gearbeitet wird. Danke!

Ich bin zugegeben affiner Laie, also wohl der für jedes System gefährliche Halbwissende (aber immerhin kein Politiker.)
In einem Haufen der quasi getöteten Dateien habe ich rumgestochert, ob noch was brauchbares zu finden ist.
Immerhin konnte ich auf einer Partition die Namen und Formate lesbar machen.
Die Inhalte sind codiert und werden entsprechend dargestellt.

Dabei ist mir aufgefallen:
In den Eigenschaften der verschlüsselten Dateien taucht ein (selbstredend unauthorisierter) Besitzer auf, der für die Verschlüsselung Dateien genutzt wurde. (Anhang hier ungenau: Der war Besitzer mit ausschl. 'speziellen Rechten')
Eine Änderung der Datei wurde nicht erkannt, aber das Erstellungsdatum auf Anfang des 17. Jahrhunderts geändert, die Verschlüsselung erfolgte real etwas später, am 12.06.12 um ~10:08h MEZ, ich war dabei
Andere betroffene Dateien haben den gleichlautenden 'Besetzer'.

Wie wird dessen eigentümlicher Name generiert?
Kann hier vielleicht doch noch der Schlüssel zum Schlüssel liegen?

Ich kann nicht beurteilen, ob ich inspiriere oder nur Zeit stehle. Bitte um Nachsicht.
Danke!
Miniaturansicht angehängter Grafiken
picture0004.png  
  Mit Zitat antworten Zitat
bombinho

Registriert seit: 4. Jun 2012
Ort: UK
15 Beiträge
 
Turbo Delphi für Win32
 
#237

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 16. Jun 2012, 22:42
Und wenn die Backups ebenfalls schon betroffen sind, weil der Trojaner sich nicht per Bildschirmmeldung zu erkennen gibt?
Statt dessen steht im verschlüsselten Teil eine URL; dort kann das Opfer den Erpressungstext lesen.
Die Expressung sieht so aus: zahle 10 Mio und alle Dateien werden binnen einer Stunde restauriert werden oder zahle nicht und du hast einen mehrtägigen Ausfall (was viele Unternehmen an den Rand des Ruins bringt)
Naja, die Backups funktionieren dort ein wenig anders als beim ambitionierten HobbyAdmin. Aber immerhin hast Du mich dazu angeregt, nochmal meine Berechtigungen fuer die Backups zu ueberpruefen.
Und fuer mehrtaegigen Ausfall in einem DAX30 Unternehmen zu sorgen faellt schon in die Kategorie Terrorismus. Wenn Dir das gelingt, lass Dich nicht von den Maennern die an Seilen vor deinem Fenster rumbaumeln beim Fruehstueck stoeren.
  Mit Zitat antworten Zitat
bombinho

Registriert seit: 4. Jun 2012
Ort: UK
15 Beiträge
 
Turbo Delphi für Win32
 
#238

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 16. Jun 2012, 22:52
Hallo zusammen,

[snip]Die Inhalte sind codiert und werden entsprechend dargestellt.

Dabei ist mir aufgefallen:
In den Eigenschaften der verschlüsselten Dateien taucht ein (selbstredend unauthorisierter) Besitzer auf, der für die Verschlüsselung Dateien genutzt wurde. (Anhang hier ungenau: Der war Besitzer mit ausschl. 'speziellen Rechten')
Eine Änderung der Datei wurde nicht erkannt, aber das Erstellungsdatum auf Anfang des 17. Jahrhunderts geändert, die Verschlüsselung erfolgte real etwas später, am 12.06.12 um ~10:08h MEZ, ich war dabei
Andere betroffene Dateien haben den gleichlautenden 'Besetzer'.

Wie wird dessen eigentümlicher Name generiert?
Kann hier vielleicht doch noch der Schlüssel zum Schlüssel liegen?

[Snip]
Der Benutzer, den Du dort siehst, ist mit hoechster Wahscheinlichkeit nicht von Deinem OS generiert sondern von einer Parallelinstallation von WinXP, Vista, Win7 oder Win8. Eventuell die Win8 Beta ausprobiert?
Der Name den Du siehst ist lediglich eine Lesbarmachung der auf deinem System unbekannten Nutzerkennung und keinerlei Chiffre oder was auch immer.

Affiner Laie mit Hang zur Datenverschluesselung, immerhin schon ein Level weiter als mancher Admin .

Geändert von bombinho (16. Jun 2012 um 22:55 Uhr) Grund: Musste raus, Sorry.
  Mit Zitat antworten Zitat
Benutzerbild von Dalai
Dalai

Registriert seit: 9. Apr 2006
1.445 Beiträge
 
Delphi 5 Professional
 
#239

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 17. Jun 2012, 01:03
Wie wird dessen eigentümlicher Name generiert?
Das ist kein Name sondern ein sogenannter Security Identifier (kurz SID), den jedes Windows-Nutzerkonto hat. Entspricht diese SID einem auf dem gerade benutzten Windows existierenden Benutzer, so wird er - für die Anzeige - in einen Namen übersetzt. Existiert kein passendes Konto, passiert genau das, was du siehst: der SID selbst wird angezeigt.

Ein Grund für einen solchen Besitzer wurde ja bereits genannt, ein anderer ist, dass ein Benutzerkonto auf demselben Windows irgendwann einmal existiert hat (mit dem die Datei angelegt wurde) und dieses später gelöscht wurde. Der Besitzer bleibt bestehen (steht im NTFS-Dateisystem ebenfalls als SID), der SID kann nicht mehr zugeordnet werden und *zack*, siehst du genau das.

Also nichts "Magisches" oder für das Problem irgendwie Nützliches - leider.

MfG Dalai
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
35.838 Beiträge
 
Delphi 10.4 Sydney
 
#240

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 17. Jun 2012, 09:38
Ich sehe momentan echt nur noch mehr das Hacken des CC Servers als einzige Lösung.

Eine Gruppe von mehreren Personen organisiert sich, um in fremdes System einzudringen. ... Das riecht nach ... *schnupper* ... organisierter Computer-Kriminalität.

...
Schweizer Server?

OK, in Bezug auf Banken sind die zwar etwas komisch, aber kann man es nicht dennoch mal mit den Gesetzen da drüben versuchen?
Richter => Verfügung => Polizei => Daten

Selbst in China gibt es eine Polizei und dann kann man sich auch noch direkt an diese chinesische Uni wenden usw.
Garbage Collector ... Delphianer erzeugen keinen Müll, also brauchen sie auch keinen Müllsucher.
Delphi-Tage 2005-2014
  Mit Zitat antworten Zitat
Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche
Ansicht

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 03:14 Uhr.
Powered by vBulletin® Copyright ©2000 - 2020, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2020 by Daniel R. Wolf