-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by pcnberlin,
18. Okt 2012
Für die, die es interessiert, hier gibt es eine ausführliche Analyse des Trojaners:
hxxp://malware.lu/Pro/RAP001_malware_rannoh_matsnu_1.1.pdf
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by pcnberlin,
30. Aug 2012
Es geht wieder los :-(
Habe hier einen Rechner mit neuem Verschlüsselungstrojaner, Datum vom 27.08.2012, Detection Ratio 5/42
IPs u.a.
seneesamj.com 203.91.113.6 A 92.50.171.166 A 123.101.2.10 A 195.198.124.60
LG aus Berlin
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by pcnberlin,
13. Jun 2012
Wegen der Hacking-Diskussion:
Ich denke eh nicht wirklich, dass die relevanten Daten auf den Servern liegen, das wäre zu einfach :-) Die a.php ist sicher nur ein Proxy und leitet die Anfragen an einen Server weiter, den wir noch gar nicht kennen, so würde ich das jedenfalls machen, wenn ich sicherstellen will, dass meine Passwörter auch dann noch verfügbar sind, wenn die "öffenlichen" Server...
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by pcnberlin,
6. Jun 2012
@johX
Ich denke nicht, dass uns das wirklich weiterbringen wird. Der zur Verschküsselung genutzte Schlüssel ist sehr wahrscheinlich zumindest anteilig dynamisch. Für jede einzelne Datei wird zudem ein eigener Schlüssel generiert.
@Marcu
Ich konnte anhand eines verseuchten Rechners und Deines Tools nachvollziehen, dass in der temp-Datei (1kb) die Paysafe/Ucash-Nummer mit abgespeichert...
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by pcnberlin,
4. Jun 2012
@CAG83
Auch hier bei mir kommen leider immer mehr Anfragen. Unsere Strategie bei verseuten Rechnern:
1) Komplettsicherung mit z.B. True Image, wenn die Daten sehr sehr wichtig sind, dann ein dd-image
2) Virus entfernen
3) Daten retten / shadow copy -> externe HDD
4) System neu installieren, Updates, Virenscanner
5) Daten zurück
@Marcu
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by pcnberlin,
4. Jun 2012
@markusg
Nein, habe keine komplette Aufzeichnung. Allerdings hat sich da auch immer nicht viel geändert. Nur die Domains, die genutzt werden ändern sich ab und an. Und die IPs, die jetzt aktiv sind, waren auch schon früher aktiv. Bei der schweizer fand ich es halt ganz interessant. Da läuft aber auch wieder ein aktuelles Linux drauf. Der Rest der IPs waren immer Russland, China, US, CA...
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by pcnberlin,
3. Jun 2012
@markusg
Funktioniert der alte Cryptovirus überhaupt noch, wenn ja, dann überträgt er vermutlich nichts wichtiges. Wäre aber schon interessant. Kannst mir auch gerne einige Samples zukommen lassen, dann kann ich das auch alleine anschaun ;-)
Zu der fraglichen IP: Ich beobachte regelmäßig, was ein whois auf die verschiedenen CC-Server ergibt. Und da war diese IP dabei. Ist zwar vermutlich ein...
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by pcnberlin,
2. Jun 2012
@Marcu
Du hast aber auch ein bischen einen Dickschädel, oder? Das find ich prima, ich nämlich auch ;-) Ich hoffe, Du findest noch etwas raus, war heute leider wieder sehr eingespannt & würde aktuell auch gern weiter debuggen. In welche Datei schreibt er denn, diese 1kb im temp? Ich bin gespannt auf Neuigkeiten, auch wenn Sie negativ sein sollten. Es ist halt auch sehr interessant, zu verstehen...
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by pcnberlin,
2. Jun 2012
@Marcu & all
Meine Nachfrage nach dem Memory-Dump hat sich gerade erledigt, da ich den Blogeintrag bei McAfee grad gelesen habe: hxxp://blogs.mcafee.com/mcafee-labs/ransomware-holds-up-victims . Dann wars das wohl: Der Basis-Schlüssel, der zur Entschlüsselung gebraucht wird, wird bei Infektion an den C&C-Server gesendet und ist somit nicht mehr auf dem Infizierten Rechner. Diesen Schlüssel...
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by pcnberlin,
1. Jun 2012
Ich finde es echt super, wie Du Dich mit dem Trojaner auseinandergesetzt hast & ich weiß, dass das verdammt viel Arbeit ist und von einzelnen prinzipiell fast nicht zu leisten ist, jedenfalls nicht wenn man noch ein wenig RL nebenbei hat ;-). Deshalb hierfür ein großes Danke. Da wir ja an unterschiedlichen Stellen gearbeitet haben, wäre ich, wenn Du das wirklich tun möchtest an einem Bericht,...
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by pcnberlin,
31. Mai 2012
@Michael
Ich bin mir noch im Unklaren, was es mit den %temp% Dateien genau auf sich hat.
@Marcu & all
Habe mir die Sache jetzt noch mal angeschaut und vermute, dass Du recht hast. Ich konnte in meinen Memdumps keine Anzeichen für ein public-key Verfahren finden, wohl aber Hinweise auf die Kombination des Statischen keys (....ssh) mit einem bzw. vielen dynamischen. Ich habe dazu in meinem...
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by pcnberlin,
29. Mai 2012
@Marcu
Ja, ich meinte den Teilschlüssel mit ssh am Ende ;-). Den findet man im entsprechenden Dump, ist also statisch.
Ich werde heute Nacht nicht mehr dazu kommen, den Debugger anzuwerfen und Deine Aussagen nochmal zu prüfen, das kostet leider ja auch einiges an Zeit und die Malware-Domains sind auch gerade alle down. Aber ich glaube mich zu erinnern, dass die Reihenfolge der...
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by pcnberlin,
29. Mai 2012
@Marcu:
Komme leider erst jetzt dazu zu antworten. Vielen dank für das Plugin, werde es testen. Hatte vorher ein Tool von Xylitol, das wollte aber leider bei diesem Trojaner nicht funktionieren.
Übrigens habe ich noch was zu diesem ominösen "Schlüssel" herausgefunden. Der scheint hart codiert zu sein, denn er findet sich im Memory-Dump eines infizierten Rechners, der seit Infektion kein...
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by pcnberlin,
29. Mai 2012
Danke, ich hoffe, wir werden noch weitere und vor allem positive Informationen finden ;-)
Ist mir bisher noch nicht aufgefallen. Allerdings nutzen Sie ja verschiedene Domains & IPs und die meisten Domains sind nicht aufzulösen, dann dauerts immer ein paar Minuten. Mich nervt viel mehr diese dämliche Bildschirmsperre, die mir oft dazwischenfunkt, da scheint was nicht sauber programmiert zu...
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by pcnberlin,
28. Mai 2012
@alle
Ich habe mir bereits die ein oder andere Nacht um die Ohren geschlagen, um dem Geheimnis des Trojaners auf die Schliche zu kommen. Meine bisherigen Ergebnisse trage ich hier nun unter Verweis auf weitere Erkenntnisse von anderer Seite zusammen und stelle zur Diskussion, dass es sich bei der neuen Variante um ein public-private Key Verfahren handelt, dass auf absehbare Zeit nicht zu...
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by pcnberlin,
28. Mai 2012
@Marcu:
Falls es ein wenig hilft: Dieses Passwort scheint Maschinenunabhängig zu sein, ich habe es beim Debuggen auch gefunden: