-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by Michael Habbe,
4. Aug 2012
Da muss ich doch mal nachhaken.
Wenn man nun versucht mit Bruteforce die Datei(en) zu entschlüsseln, wie kann man dann während der Suche erkennen, ob die Datei richtig entschlüsselt wurde? Man weiss ja prizipiell nicht für jede Datei genau, obs nun eine doc, jpg, odt, ... ist. Es müsste doch nach jedem Schlüssel versucht werden die Datei zu öffnen, oder?
Oder hat die RC4-Routine einen...
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by Michael Habbe,
15. Jun 2012
Vielleicht habe ich es etwas krass ausgedrückt. :oops:
Aber was soll man dazu sagen, wenn der Kunde, der beim PC alles verloren hat, beim NB aber Glück hatte, und nun anruft, er habe wieder diese Mails bekommen, und nachfragt, ob er sie gleich löschen soll. :stupid:
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by Michael Habbe,
15. Jun 2012
Bei Erscheinen der Forderung haben sich Deine Daten schon verabschiedet.
Und mal ehrlich: Würdest Du bei einer Windows-Fehlermeldung den Stecker ziehen? Hast Du noch was anderes vor? :lol:
Was immer wieder angesprochen wird und ich mich immer wieder wundere. Da kommt 'ne Mail mit einer unglaublichen Forderung rein. Was macht der User? Er/Sie hat nix besseres zu tun....
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by Michael Habbe,
4. Jun 2012
Es wird langsam OT. :cry:
Michael
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by Michael Habbe,
3. Jun 2012
So, habe das mal nachgeholt. Hat lange gedauert, ich dachte erst, er würde nix mehr verschlüsseln.
Habe die Protokolldatei von Wireshark angehängt.
Zudem wurden wieder zwei Dateien gleichen Namens (srUEsxjrXJueNUEsGArpv) erzeugt. Auch anbei. Die Dateien aus dem Temp-Ordner kann ich bei Bedarf nachreichen.
Michael
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by Michael Habbe,
3. Jun 2012
Ich habe heute nachmittag vom Kunden eine Mail mit Anhang weitergeleitet bekommen, den er diesmal nicht geöffnet hat. Dort drin wieder eine Rechnung.pif, die ich sofort in meiner VM aktiviert habe.
Ich hatte einen Ordner mit über 5100 Textdateien erstellt, die denselben Inhalt haben, siehe Anhang.
Nun ist es eingetreten, was ich versucht hatte zu erreichen: Es sind zwei verschlüsselte Dateien...
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by Michael Habbe,
31. Mai 2012
Ich bin mir nicht sicher, was es zu bedeuten hat.
Ich habe auf dem Kundenrechner, nachdem die Daten gesichert wurden, die "rechnung.pif" erneut ausgeführt gehabt (bereits vor 2 Wochen).
Nun ist mir aufgefallen, dass die eine Datei die im Temp angelegt wurde, mehrfach vorhanden ist. Einmal ohne Ext., das 2. Mal mit $ als Ext.
Der Inhalt der 1048 Byte grossen Datei ist bis auf zwei...
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by Michael Habbe,
29. Mai 2012
Hallo Marcu.
Ich habe eines der Teile aus dem Giftschrank mit der Größe von ca. 64 kB probiert. War zumindest nicht direkt tödlich für meine VM, dank SwitchBack. :wink: Hat aber nix mehr verschlüsselt.
Ich glaube, wir kommen dem Malwarefuzzie nur bei, indem der ganzen Welt (*mal ein bischen hochhinaus woll*) bewusst gemacht wird, nicht mehr diese Anhänge anzuklicken. Ansonsten ist er immer...
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by Michael Habbe,
29. Mai 2012
Ich habe dann jetzt mal eine Nachricht an meinen Lieblingssender 1Live (www.einslive.de) verfasst und auf die Delphi-Praxis bzw. das Trojaner-Board verwiesen, sie mögen mal eine Warnung an die Hörerschaft rausbringen.
Mal schauen.
Michael
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by Michael Habbe,
29. Mai 2012
Hallo Marcu.
Kannst Du mir mal den aktuellen Verschlüsseler zur Verfügung stellen? Ich möchte mal ein bischen mit dieser Datei experementieren, die im Temp-Ordner abgelegt wird.
Der SwitchBack funktioniert übrigens prima! :thumb:
Michael
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by Michael Habbe,
24. Mai 2012
Hallo Marcu.
Ich habe ein paar Postings vorher eine Zip-Datei hochgeladen, wo ein und diesselbe Textdateien mehrfach unter den Trojaner gekommen sind -> http://www.delphipraxis.net/attachments/36940d1337636769-verschluesselungs-trojaner-hilfe-benoetigt-ascii.zip
Kannst Du Deine Routinen nicht so abändern, dass man einen Schlüssel reintut, die Datei verändert wird und man anschließend...
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by Michael Habbe,
22. Mai 2012
Kannst mir bitte auch den aktuellen schicken, meine VM will gefüttert werden.
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by Michael Habbe,
21. Mai 2012
Hallo Marcus.
Da könnte ich eine unbenutzte Tube für das (graue) Haar ab 40 anbieten, welches ich als Club-Willkommensgeschenk bekam. :wink:
Ich habe die VM sogar mehrfach zurückgesetzt (das ist echt ne coole Sache) und ihn dann mehrfach starten können. Da konnte ich dann per Regedit und Remote-Zugriff die Registry komplett exportieren. Ich lad die mal mit hoch, 1x vorher und 2x...
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by Michael Habbe,
21. Mai 2012
In meiner VirtualBox will der Bösewicht nun schon seit drei Tagen keine Dateien mehr verschlüsseln. Davor hat er allerdings auch nicht jedesmal, sondern nur alle 2-4 Versuche die Dateien bearbeitet. Aktiviert wird er trotzalledem.
Wenn man sich die Anzahl der Betroffenen im Trojaner-Board-Forum ansieht, könnte es aber auch vielleicht mit der Verbreitung zu tun haben, wenn man evtl. davon...
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by Michael Habbe,
18. Mai 2012
Hallo Markus.
Ich hätte mehr Infos geben müssen, war wohl schon zu spät.
Du hast Recht, es gibt diverse Tools von diversen AV-Herstellern. Diese beziehen sich aber nur auf den Verschlüsselungstrojaner, der aus einer normalen "Datei.ext" eine Datei namens "locked-Datei.ext.yxwd" macht. Diese Variante war recht einfacht zu entschlüsseln, da jede Datei mit dem gleichen Schlüssel cryptiert...
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by Michael Habbe,
18. Mai 2012
Hallo Leute.
Vor ein paar Tagen ist ein neuer Verschlüsselungstrojaner aufgetaucht, der die ersten 12288 Bytes in Bildern und Dokumenten verschlüsselt. Zusätzlich wird der Dateiname umgewandelt.
Im Trojaner-Board sind einige Leute dabei, die Dateien auseinanderzunehmen, um eine Entschlüsselungsroutine zu finden.
Nun weiss ich, es gibt hier Profis, die sich damit bestens auskennen....