AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Verschlüsselungs-Trojaner, Hilfe benötigt

Ein Thema von Michael Habbe · begonnen am 18. Mai 2012 · letzter Beitrag vom 27. Dez 2017
Antwort Antwort
Seite 1 von 2  1 2      
Benutzerbild von sx2008
sx2008

Registriert seit: 15. Feb 2008
Ort: Baden-Württemberg
2.332 Beiträge
 
Delphi 2007 Professional
 
#1

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 15. Jun 2012, 07:19
Eigentlich heisst das doch, dass gegen einen gut gemachten Verschlüsselungs-Trojaner kein Kraut gewachsen ist.
* die Verschlüsselung ist nicht zu knacken (falls "richtig" programmiert wurde)
* die C&C Server sind kaum totzukriegen
* da der Trojaner seine Existenz nicht verborgen halten muss, könnte er auch ein Peer-2-Peer Netzwerk bilden und so die Verbrecher noch besser schützen
* er braucht keinen Code um sich selbst weiterzuverbreiten, das erledigt der User hinter dem Bildschirm
(eine Verbreitung im lokalen Netzwerk wäre aber dennoch "sinnvoll" aus Sicht des Trojaners)
* der Erpressungspotential ist nahezu unbegrenzt - man stelle sich vor der Trojaner dringt in eine Firma aus dem DAX30 ein, verbreitet sich auf eine Vielzahl von Rechnern und verschlüsselt alle Word Dokumente im lokalen Netzwerk und den lokalen Platten
* die Hintermänner sind, ausser durch einen Zufall, kaum zu fassen
* Virenscanner nützen wenig, weil immer neue Varianten in Umlauf gesetzt werden
Wenn pro Tag 100000 Mails verschickt werden und 5% der User den Anhang öffnen und davon 8% bezahlen, dann sind das 400 Zahlungseingänge pro Tag auf den Konten der Ganoven

Fazit:
Antivirenprogramme und die normalen 08/15-User haben den Krieg schon verloren
  Mit Zitat antworten Zitat
Benutzerbild von implementation
implementation

Registriert seit: 5. Mai 2008
940 Beiträge
 
FreePascal / Lazarus
 
#2

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 15. Jun 2012, 07:37
Da hilft nur eins: Computerfahrschule, "Wie gehe ich sicher mit meinem digitalen Rechenschieber um?"
  Mit Zitat antworten Zitat
BlackSeven

Registriert seit: 25. Sep 2004
79 Beiträge
 
Delphi XE7 Professional
 
#3

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 15. Jun 2012, 08:00
Zitat:
Da hilft nur eins: Computerfahrschule, "Wie gehe ich sicher mit meinem digitalen Rechenschieber um?"
Du kannst den Leuten 1000 mal sagen, dass sie nicht auf die heiße Herdplatte fassen sollen - sie tun es trotzdem immer wieder.
  Mit Zitat antworten Zitat
Benutzerbild von sx2008
sx2008

Registriert seit: 15. Feb 2008
Ort: Baden-Württemberg
2.332 Beiträge
 
Delphi 2007 Professional
 
#4

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 15. Jun 2012, 08:00
Computerfahrschule
Tja schon, aber vor 2 Wochen wäre ich fast gar selbst ein Opfer geworden.
Eine gut gemachte EMail droht mit Inkasso und ~600 Euro Zahlungsaufforderung wegen einer Webseite, auf der ich mich tatsächlich angemeldet habe.
Username und Email passten zusammen.
Wutentbrannt habe ich die Zip-Datei geöffnet und darin war eine "NameDerWebseite.com" Datei.
In letzter Sekunde war mir klar, das ist eine ausführbare Datei; ein Virus.

Und natürlich habe mit Admin-Rechten meine EMails gelesen
Letztes Backup ist Monate alt.
Trotz jahrelange Computererfahrung hätt's mich fast erwischt. (Aber das wird mir eine Lehre sein)

Stell dir mal eine Sekretärin bei der Deutschen Bank in Frankfurt vor.
Sie bekommt ein Mahnschreiben (angeblich von der Commerzbank) mit einer Zahlungsaufforderung über 965000 Euro. Und im Anhang eine Datei mit dem Namen "Mahnung.Coba.com".
KLICK
  Mit Zitat antworten Zitat
Peter I.

Registriert seit: 17. Jun 2012
2 Beiträge
 
#5

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 17. Jun 2012, 11:32
Computerfahrschule
Tja schon, aber vor 2 Wochen wäre ich fast gar selbst ein Opfer geworden.
Eine gut gemachte EMail droht mit Inkasso und ~600 Euro Zahlungsaufforderung wegen einer Webseite, auf der ich mich tatsächlich angemeldet habe.
Username und Email passten zusammen.
Wutentbrannt habe ich die Zip-Datei geöffnet und darin war eine "NameDerWebseite.com" Datei.
In letzter Sekunde war mir klar, das ist eine ausführbare Datei; ein Virus.

Und natürlich habe mit Admin-Rechten meine EMails gelesen
Letztes Backup ist Monate alt.
Trotz jahrelange Computererfahrung hätt's mich fast erwischt. (Aber das wird mir eine Lehre sein)

Stell dir mal eine Sekretärin bei der Deutschen Bank in Frankfurt vor.
Sie bekommt ein Mahnschreiben (angeblich von der Commerzbank) mit einer Zahlungsaufforderung über 965000 Euro. Und im Anhang eine Datei mit dem Namen "Mahnung.Coba.com".
KLICK
Hallo in die Runde,

ohne mich selbst in die Sonne stellen zu wollen, will ich mal die Hintergründe beleuchten, wie man sich als notorischer Löscher unerbetener e-mails diese Rakete einfängt. Wer hier die ja durchaus zutreffende Leier spielt, daß man aufpassen solle,
a) ist ein sehr heller Kopf, was ihm vergönnt ist,
b) wurde vom Trojanerversender möglicherweise bis dato noch nicht bedacht,
c) hat die Qualität dieser Attacke noch nicht richtig erfaßt,
d) blendet bei der Betrachtung andere Formen von Beschaffungskriminalität aus.

Insofern muß man sich überlegen, wie man mit der Geschichte umgeht. Einfache Lösungen helfen nicht weiter, wenn - wie wir hier sehen - selbst Fachleute nicht davor gefeit sind, in die Falle zu tappen. Im Gegenteil, sie sorgen dafür, daß die Opfer sich nicht um Hilfe bemühen (schön doof, selbst schuld - ist das Letzte, was man braucht) und daher denjenigen, die an dem Problem forschen, aktuelle Entwicklungen vorenthalten werden.

Bei mir war es so, daß wir kurz nach Mitternacht einen Feuerwehreinsatz im Haus hatten und ich aus beruflichen Gründen deswegen noch nach 01:00 am Rechner saß um bestimmte Recherchen zu machen.
In meinem Spamfilter landen etwa 60% mails, die gebraucht (aber nicht erwartet) werden, es ist also keine Option, den unbesehen auszukippen.

Die mail mit dem Trojaner ist zwar gespickt mit Schreib- und sachlichen Fehlern, aber der Adressat wird mit seinem vollkommen korrekt geschriebenen Namen höchstpersönlich angesprochen. Das ist bei mir bei von mir völlig fremden Leuten normal, also schon mal kein Grund, deswegen die mail zu killen.
Deren Inhalt läßt auf einen Fall von Identitätsklau schließen, also eine Geschichte, die mehrfach durch die Medien lief und ausweislich der Erfahrungen Betroffener nicht einfach durch Aussitzen aus der Welt geschafft werden kann, sofern einem gehäufte Schufa-Einträge und Zivilrechtsprozesse nicht am Allerwertesten vorbeigehen. Man avisierte eine angeblich bestellte Lieferung und Belastung einer hohen vierstelligen Summe innerhalb der nächsten Tage. Daß ich mich um die Entgegennahme der Ware nicht würde kümmern müssen, sondern daß das andere erledigen, die mir dafür die Rechnung überlassen, ist derweil Allgemeingut. Es liegt also von vornherein sehr nahe, Strafanzeige zu erstatten bzw. anwaltliche Hilfe in Anspruch zu nehmen, aber wenn man nicht nur eine Verfahrenseinstellung bzw. eine Honorarrechnung haben will, sollte man dem Gegenüber mehr als nur "ich hab' da eine Bestellbestätigung und ein Abbuchungsavis gekriegt, weiß aber nicht, worum es geht" vortragen können. Was soll der arme Polizeibeamte oder der Anwalt damit schon anfangen, der fragt logischerweise nach dem Inhalt des Schreibens.

Was ihr den Leuten (der vom Vorposter genannten Sekretärin bspw.) durchaus vorwerfen könnt ist, nicht gerafft zu haben, daß das da eine zip-Datei ist. Nur fliegen hier täglich die unsinnigsten Varianten rein - eine dankenswerterweise weitergeleitete mail bspw., noch eben nicht als Klartext in der Weiterleitungsmail, sondern als Dateianhang zu solcher - und andere Dinge, die einem immer beim ersten Mal neu sind. Wer auf die aus altruistischen Motiven weitergereichten Terminhinweise keinen Wert legt, kann die Absender darob anscheißen - und sich ein anderes Betätigungsfeld suchen.

Quintessenz: ich schreibe diesen Beitrag von einem Rechner, dessen Platte ich heute früh ausgebaut habe (stelle sie zu Forschungszwecken gerne einem diskret vorgehenden Mitglied dieses Boards per persönlicher Übergabe zur Verfügung), der von einer in der Linux-Welt enthaltenen Live-DVD gebootet wurde und derweil (vom RAM abgesehen) keinen anderen Massespeicher hat.

Beste Grüße und viel Erfolg noch,
Peter
  Mit Zitat antworten Zitat
Desaster83

Registriert seit: 20. Jun 2012
1 Beiträge
 
#6

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 20. Jun 2012, 13:12
Guten Tag allerseits,
auch ich bin über Umwege von diesem Virus befallen worde.
Mein Vater hatte letzte Woche eine Mail bekommen und die Datei geöffnet, da er persönlich angesprochen wurde und er die Absender-Adresse kannte.
Die Dateien sind "EngufdsXloQNxUfDa" in dieser Art verschlüsselt. Soweit ich das seh, sämtliche Office-Dateien, pdf, videos, bilder und mp3.
Ich bin ein bisschen überrascht, dass die Verschlüsselung so willkürlich zu sein scheint, also ich mein die verschlüsselten Dateien. Auf Systempartition C, ist keine einzige Datei verschlüsselt. Auf d,e und f sehr sehr viele bis alle. In einem Baum mit diversen Unterordnern sind manche Unterordner im Baum komplett verschlüsselt, manche komplett unverschlüsselt. Unabhängig vom Datum oder sonst irgendwas. Außerdem gibt es Ordner in denen nur ein paar Dateien verschlüsselt sind und sogar einen mit etwa 100 Dateien wo exakt eine Datei verschlüsselt wurde. Hängt das nur mit der tatsächlichen Speicheradresse der Dateien zusammen oder steckt mehr dahinter?

Noch eine kleine vermutlich bedeutungslose Anmerkung zum Thema:
Jemand hatte hier von 5100 Dateien gleichen Inhalts in einem Ordner berichtet wo ein verschlüsselter Dateiname doppelt vorkam. Könnte da nicht der Unix Timestamp eine Rolle spielen?
Ansonsten find ich EINEN doppelten Namen bei 5100 identischen Dateien merkwürdig.

lG
Matthias
  Mit Zitat antworten Zitat
Marcu

Registriert seit: 20. Mai 2012
50 Beiträge
 
#7

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 20. Jun 2012, 19:56
Hallo Matthias

für jede Partition wird ein Thread gestartet, der rekursiv durch den Dateibaum läuft. Diese Threads laufen gleichzeitig. In jedem Thread wird zu jeder Datei ein neuer Dateiname und ein Passwort per Zufall generiert. Dieser Datensatz wird nach der Erstellung in einen gemeinsamen globalen Speicherbereich abgelegt. Am Schluß hat der Virus im Speicher einen langen String mit folgendem Aufbau: Altername<0a0d>Neuername<0a0d>Passwort<0a0d0a0d>.. .
Und genau so sieht auch eine entschlüsselte Datei Katalog.$02 aus - eine reine Textdatei.

Code:
Speicherdump
.
.
.
C:\\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{A990EAA7-8941-4621-BC27-4F16261D3180}\NewShortcut3_8315396A5EA1419DBEC4978284BDF556.exe
C:\\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{A990EAA7-8941-4621-BC27-4F16261D3180}\ONtogGLnrsoOxnNsEgG
xDVyGLdAsofyGnUAtEVqxLdjsEfyGLdjsEV

C:\\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\brndlog.bak
C:\\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\sEDjJENrOyvQuOngrAujE
gTuQnsrAuAoroyTQnsTUqEEyjodXqQrsEslj

C:\\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\brndlog.txt
C:\\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\aeGapdeDsXaflsGapds
DsxaXUelsXTflsxTXgsflsVGdJOQUsfxpNtTgxpNsTOGXrtT
.
.
.
Es gibt ein Limit für die Größe des Speicherbereichs in dem die Datensätze gesammelt werden. Sobald der Katalog dieses Limit erreicht hat werden keine weiteren Datensätze mehr angefügt. Wegen dieses Limits und der Gleichzeitigkeit der Threads kann es durchaus schon dazu kommen, dass nur eine Datei in einem Verzeichnis verschlüsselt wurde.
Vielleicht hat dein Vater sich auch unkooperativ verhalten und mitten in der Verschlüsselungsphase den Computer ausgeschaltet.

Vg Marcu

Geändert von Marcu (20. Jun 2012 um 20:12 Uhr)
  Mit Zitat antworten Zitat
markusg

Registriert seit: 22. Mai 2012
28 Beiträge
 
#8

AWW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 15. Jun 2012, 19:36
hi
man sollte auch nicht unfair werden, die mails sind gut gemacht mit namen etc,
da kann man schon drauf rein fallen denke ich
aber das hatte ich ja schon mal gesagt und muss man ja nicht immer aufs neue aufwärmen.
die version 2.x gibts ungefähr seit letzem donnerstag /freitag.
pass: infected
http://www.file-upload.net/download-...lagen.rar.html
wer keine malware testen will, läd sich das archiv nicht runter, entpackt es nicht, bzw gibt schon gar nicht das passwort ein, und er entpackt das zweite archiv im archiv auch nicht
  Mit Zitat antworten Zitat
bombinho

Registriert seit: 4. Jun 2012
Ort: UK
15 Beiträge
 
Turbo Delphi für Win32
 
#9

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 16. Jun 2012, 01:19
* er braucht keinen Code um sich selbst weiterzuverbreiten, das erledigt der User hinter dem Bildschirm
(eine Verbreitung im lokalen Netzwerk wäre aber dennoch "sinnvoll" aus Sicht des Trojaners)
Nennen wir das einfach mal "einen netten Zug des Coders". Und verlassen wuerde ich mich da drauf schon gar nicht. Und wenn Du glaubst, sicher zu sein, dann fang mal an deinen Datenverkehr zu loggen.
Mit IPv6 kommt noch richtig Spass auf uns zu.
Mir wurde als allererstes beigebracht, das einzige Tool, dass umfassende Sicherheit fuer deinen Rechner gewaehrleistet, ist der Seitenschneider, konsequent angewendet.

* der Erpressungspotential ist nahezu unbegrenzt - man stelle sich vor der Trojaner dringt in eine Firma aus dem DAX30 ein, verbreitet sich auf eine Vielzahl von Rechnern und verschlüsselt alle Word Dokumente im lokalen Netzwerk und den lokalen Platten
Das DAX30 Unternehmen ohne Admin und Backups und Sicherungsschichten moechte ich sehen. Abgesehen davon glaube ich mich zu erinnern, dass Unternehmen ab einer gewissen Groesse rechtlich dazu verpflichtet sind, die IT mit geeigneten Massnahmen zu sichern.
  Mit Zitat antworten Zitat
Benutzerbild von sx2008
sx2008

Registriert seit: 15. Feb 2008
Ort: Baden-Württemberg
2.332 Beiträge
 
Delphi 2007 Professional
 
#10

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 16. Jun 2012, 13:41
* der Erpressungspotential ist nahezu unbegrenzt - man stelle sich vor der Trojaner dringt in eine Firma aus dem DAX30 ein, verbreitet sich ...
Das DAX30 Unternehmen ohne Admin und Backups und Sicherungsschichten moechte ich sehen. Abgesehen davon glaube ich mich zu erinnern, dass Unternehmen ab einer gewissen Groesse rechtlich dazu verpflichtet sind, die IT mit geeigneten Massnahmen zu sichern.
Und wenn die Backups ebenfalls schon betroffen sind, weil der Trojaner sich nicht per Bildschirmmeldung zu erkennen gibt?
Statt dessen steht im verschlüsselten Teil eine URL; dort kann das Opfer den Erpressungstext lesen.
Die Expressung sieht so aus: zahle 10 Mio und alle Dateien werden binnen einer Stunde restauriert werden oder zahle nicht und du hast einen mehrtägigen Ausfall (was viele Unternehmen an den Rand des Ruins bringt)
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 2  1 2      

 

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 18:02 Uhr.
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz