|
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Ich weiß noch nicht ob die Entschlüsselung klappen wird weil ich die Herkunft des Schlüssels noch nicht kenne. Aber zumindest weiß ich schonmal wie die Routine ausschaut welche die Daten entschlüsselt:
Delphi-Quellcode:
Ich will Niemanden vorreilig Hoffnung machen, aber wenn ich eine verschlüsselte Datei hätte würde ich die keinesfalls wegwerfen. Heute oder morgen nach der Arbeit setzte ich mich dran und werde rausfinden wo der Schlüssel herkommt. Danach gibt es eine konkrete Aussage von mir.
procedure PermuteSomeBytes(Buffer: pbyte; BufLen: word);
var p: pchar; cnt: Integer; c1, c2: char; begin cnt := BufLen shr 4; p := pchar(Buffer); while (cnt <> 0) do begin c1 := p^; p^ := (p + 8)^; (p + 8)^ := c1; c2 := (p + 4)^; (p + 4)^ := (p + 12)^; (p + 12)^ := c2; p := p + 16; dec(cnt); end; end; procedure DecryptFile(const SourceFileName, DestinationFileName, Password: string); const BUFFERSIZE = $3000; // ist das wirklich eine Konstante oder wird PARTOFPASSWORD vom Virenloader // in den Virencode gepatcht ? PARTOFPASSWORD = '732jjdnbYYSUUW7kjksk***ndhhssh'; var hProv: HCRYPTPROV; hash: HCRYPTHASH; key: HCRYPTKEY; pw:string; Buffer: PByte; len: dWord; fsIn, fsOut: TFileStream; begin pw:= Password + PartOfPassword; if CryptAcquireContext(@hProv, nil, nil, PROV_RSA_FULL, $F0000000) then begin CryptCreateHash(hProv, $8003, 0, 0, @hash); CryptHashData(hash, @pw[1], Length(pw), 0); CryptDeriveKey(hProv, $6801, hash, 1, @key); CryptDestroyHash(hash); fsIn := TFileStream.Create(SourceFileName, fmOpenRead or fmShareDenyWrite); fsOut := TFileStream.Create(DestinationFileName, fmCreate); try GetMem(Buffer, BUFFERSIZE); if not fsIn.Size = 0 then begin len := fsIn.Read(Buffer^, BUFFERSIZE); CryptDecrypt(key, 0, True, 0, Buffer, @len); // nach dem entschlüsseln wird in PermuteSomeBytes // das vertauschungen einiger Bytes rückgängig gemacht PermuteSomeBytes(Buffer, len); fsOut.Write(Buffer^, len); end; FreeMem(Buffer, BUFFERSIZE); finally fsIn.Free; fsOut.Free; end; CryptReleaseContext(hProv, 0); end; end; Viele Grüße Marcus |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
verschlüsselte dateien hab ich genug, falls du welche brauchst :d
|
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
oje... dieser blöde Virus hat wirklich großen Schaden angerichtet, nicht wahr? Ich habe gestern gelesen, dass da einer gleich zwei Usbfestplatten an seinem Computer für das Backup angeschloßen hatte. Und da hat er pflichtbewußt und täglich seine Daten drauf dupliztiert. Alles ist jetzt verschlüsselt und er überlegt seinen Laden dicht zu machen :-(
Morgen pder übermorgen werde ich dich eventuell um eine verschlüsselte Datei bitten, Markus. Am liebsten eine schöne lange Textdatei mit deutlich mehr als $3000 Bytes. Ich habe nämlich beschlossen, dass ich keine Minute mehr damit verschwenden werde die Dateiverschlüsselung des Virus zum laufen zu bekommen. Hätte ich das nur mal früher aufgeben, dann wäre ich jetzt vielleicht schon mit der Rückübersetzung fertig. |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
läuft das neue sample bei dir auch nicht?
also ich hab in meinen "zu bearbeiten" listen rund 100 mail adressen und noch einige offene threads. also wenn jemand von euch das schafft, habt ihr bestimmt tausende dankbare leute auf eurer seite :-) |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
ich habs nicht ausprobiert :oops:
Da war ich viel zu stur mit meinen Breakpoints. Die Rückübersetzung muss ich ja sowieso machen, weil ich ja eh ein Entschlüsselungsprogramm schreiben muss. Also mach ich es halt gleich, dann geht es ingesamt schneller. Jetzt muß ich aber arbeiten. Die Leute hier wollen nämlich leider, dass ich arbeite für das Geld das die mir geben. Und meine Tochter besteht regelmäßig auf Nahrung! ;-) |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
schrecklich, mitt all diesen verpflichtungen :-)
|
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Hallo Markus,
die Betroffenen sollen auf gar keinen Fall die Virusdatei sofort löschen! Der Virus schreibt eine Kopie von sich selbst letztendlich in das Verzeichnis "c:\windows\system32\" Genau diese Datei unbedingt sichern, bervor man die löscht. Es könnte sein, dass für jeden Rechner ein zufälliger Schlüssel erfunden wird und dieser Schlüssel fest in die Virusdatei unter System32 gepatcht wird. Wenn die Virusdatei gelöscht wird dann wird auch der Schlüssel eventuell gelöscht und die Daten sind verloren! Ich habe den Viruscode nicht bei mir und kann es leider jetzt nicht überprüfen. Aber ich wundere mich seit gestern Nacht darüber, dass ich einen Teil eines Schlüssels in der Virendatei gefunden habe (PartOfPassword in der Procedure decrypt oben). Das ist für mich völlig unerwartet. Es macht aus Sicht des Virenprogrammieres jedoch Sinn: Löscht man den Virus, dann zerstört man den einzigen und unwiderbringlichen Schlüssel zu seinen Daten. Bitte warne die Betroffenen. |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Hallo Marcu.
Ich habe ein paar Postings vorher eine Zip-Datei hochgeladen, wo ein und diesselbe Textdateien mehrfach unter den Trojaner gekommen sind ->  http://www.delphipraxis.net/attachme...tigt-ascii.zipKannst Du Deine Routinen nicht so abändern, dass man einen Schlüssel reintut, die Datei verändert wird und man anschließend schaut, obs der Schlüssel gewesen ist? Das ist doch die übliche Vorgehensweise bei Brute-Force, oder? Könnte man Hagen auf dieses Thema ansprechen? Er ist doch der Guru, was diese Thematik anbetrifft, oder? :idea: Michael |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Hi Michael
Zitat:
Die Haarfarbe für Ü40iger habe ich aber nicht übersehen. Wenn das was wird mit Entschlüsseln, dann will ich die als Belohnung :D Zitat:
Die Schlüssel sind leider viel zu lang um mit Brute Force etwas erreichen zu können. Zitat:
|
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
die malware legt 2 kopieen ihrer selbst im system an.
C:\Documents and Settings\Administrator\Application Data\Ycgzynuvwen\3523CC0414D7C3165928.exe wobei der ordner einen zufälligen namen haben sollte. ich denke aber das die datei zum entschlüsseln vom server kommen könnte. die dateien die ins system kopiert werden haben die selbe md5 wie der dropper, zumindest war das bisher so. aber natürlich hebe ich die gern auf, kein problem |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
wobei mir einfällt.
in der sd.7z in dem ordner bins müsstest du alle dateien drinn haben, auch die gedroppten, und da sind ja auch verschlüsselte bilder dabei. |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Vermutlich habt ihr das schon ausprobiert, aber ich hab nichts dazu gefunden und nicht genug Zeit, selber zu experimentieren.
Ist der fehlende Passwortteil vielleicht der "zufällige" Dateiname? Die Dateinamen die ich bisher erwähnt gesehen habe, schauen mir irgendwie nach Base64-Encoding aus. Wenn man jetzt den Dateinamen nimmt, dekodiert und mit dem restlichen Paswortteil kombiniert, kommt ja vielleicht was brauchbares dabei raus? Ist wohl einen Versuch wert. Evtl. findet man auch die aus dem Dateinamen dekodierten Bytes in dem großen File wieder, was der Virus auf der Platte ablegt. Ich hab da weiter vorne im Thread was von 5MB gelesen :) |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Liste der Anhänge anzeigen (Anzahl: 1)
@Marcu:
Falls es ein wenig hilft: Dieses Passwort scheint Maschinenunabhängig zu sein, ich habe es beim Debuggen auch gefunden: Anhang 36965 |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
ich lese hier mit Spannung mit (kenne einen betroffenen mit kleinunternehmen) und könnte seine recht aktuelle .pif datei zum experimentieren zurverfügung stellen.
wünsche weiterhin gutes debuggen. |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
@cag83
Bitte schaue in deine Postfach :-) @pcnberlin vielen Dank für die Bestätigung! Du hättest nicht vielleicht Zeit und Lust weiterzumachen ... Auf dem Trojaner Board sind alle herzlich willkommen - ganz besonders die Leute mit einem Debugger :D |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Hi OldGrumpy
schade, dass du keine Zeit hast :-( Ich habe auch mein Glück versucht und verschiedene Möglichkeiten die mir einfielen einfach mal ausprobiert, aber leider kein Erfolg bisher. Mit Base64-Encoding habe ich keine Versuche unternommen, da ich bisher davon im Code nichts gesehen habe. Das "Raten" hab ich auch aufgegeben - da hatte ich kein Glück - jetzt mach ichs halt auf die harte Tour und übersetze Stück für Stück zurück. Irgendwann wird der Groschen dann schon fallen :-D Zitat:
|
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Warum das Sample nicht überall läuft könnte daran liegen das ihr eine Sandbox benutzt was vom Trojaner überprüft wird
|
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Mittlerweile hat es dann doch geklappt. Ich war schlicht zu ungeduldig.
Der Virenprogrammierer verfolgt offenbar eine andere Strategie. Er denkt sich nicht lange und mühsam etwas Neues aus um die Analyse zu erschweren - etwas Geniales, was nicht jeder schon kennt und im Handumdrehen ausknipst, sondern er setzt sich einfach kurz mal hin und macht eine neue Version seines Trojaners. :-( |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Hallo,
anbei mal die Daten und Erkenntnisse, die ich auf einem betroffenen System so gesammelt habe: Trojaner Name: Unterlagen.pif Datum: Mittwoch, 23. Mai 2012, 21:51:40 Grösse 48.128 Bytes MD5: e7c55ac32bd694ec72200c31d6f4793e "Sicherheitskopie" Trojaner Name: AppData\Roaming\Gutfvyrtff\6E3A053CEABDDA2E2FFE.ex e Datum: Mittwoch, 23. Mai 2012, 22:25:03 Grösse 48.128 Bytes MD5: e7c55ac32bd694ec72200c31d6f4793e Temp-Dateien: Name: EABDDA2E48542D584E490078 Datum: Mittwoch, 23. Mai 2012, 22:25:18 Grösse: 1.048 Bytes MD5: 02c4734330ebfaf54e494642a0188a35 Name: EABDDA2E48542D584E49.$02 Datum: Mittwoch, 23. Mai 2012, 22:29:59 Grösse: 2,55 MB (2.676.578 Bytes) MD5: 2e1dbf0e11c23ef8301ac5c8617cada4 Ich gehe ganz stark davon aus, dass sich in der 2,5 MB Temp-Datei in verschlüsselter Form die neuen Dateinamen inklusive der zugehörigen Original-Dateinamen befinden. Das würde die unterschiedliche Datei-Grösse im Vergleich zu anderen betroffenen Systemen erklären. Evtl. ist dort auch der (Teil-)Schlüssel zur Verschlüsselung gespeichert. Da berichtet wurde, dass redundante Dateien nach dem Verschlüsseln unterschiedlich verschlüsselt sind und verschiedene Dateinamen haben wird wohl wahrscheinlich der Dateiname Bestandteil des Schlüssel sein oder halt ein entsprechender gespeicherter Wert. Ich vermute die kleine Datei wird irgendwie einen heruntergeladenen oder generierten Schlüssel enthalten. Erstellungsdatum ist 15 Sekunden nach Aktivierung, bzw. Replikation des Trojaners im System. Die Dateigrösse scheint bei allen betroffenen Systemen gleich zu sein. Vielleicht bringen diese Daten ja einen passenden Denkanstoss in die richtige Richtung. Habe leider von Kryptographie wenig bis garkeine Ahnung und zum Debuggen fehlen mir die Möglichkeiten. Den Decrypter-Algo habe ich mir schon in ein kleines Testprogramm implementiert. Falls es was zu testen gibt, helfe ich gerne, mit Delphi kann ich umgehen und ich habe knapp 2gb verseuchte kleine Dateien mit den zugehörigen Originalen. |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Mal ne frage..
Wird die DP jetzt mit Trojanern unterwandert/verseucht? Oder wie muss ich das sehen wenn hier soviele Infizierte Daten hochgeladen werden. Auch wenn ich euren frust verstehen kann. WARUM KANN MAN DAS NICHT PRIVAT MACHEN ? Ich muss das wissen ... Denn dann bin ich weg hier. gruss |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Zitat:
Zitat:
Wie sollen sie denn dann Verstärkung finden? Wo ist dein Problem? Und wieso schreist du uns mit Versalien und Rotschrift an? just my 2 cents... Im Debuggen bin ich schlecht, zudem habe ich grad kein Windows zur Hand, sonst würde ich mithelfen. Viel Erfolg noch! |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Zitat:
Also passend zu heutigen Tag: DON'T PANIC :wink: |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Zitat:
Man kann sich die Daten auch wie schon gefordert privat zuschicken. Kann die Admins nicht verstehen das hier kein Riegel vorgeschoben wird. gruss |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Zitat:
Ist es dein Trojaner?
|
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
@alle
Ich habe mir bereits die ein oder andere Nacht um die Ohren geschlagen, um dem Geheimnis des Trojaners auf die Schliche zu kommen. Meine bisherigen Ergebnisse trage ich hier nun unter Verweis auf weitere Erkenntnisse von anderer Seite zusammen und stelle zur Diskussion, dass es sich bei der neuen Variante um ein public-private Key Verfahren handelt, dass auf absehbare Zeit nicht zu knacken sein wird: Analyse des Windows-Verschluesselungstrojaner-neue-VersionIch möchte in der Hoffnung mit meiner Vermutung unrecht zu haben mit diesem Post dazu aufrufen, mehr Informationen zu diesem Trojaner zu veröffentlichen, den bisher erreichten Wissensstand offener als bisher zu kommunizieren (Trojaner-board u.a.) und hoffe, dass sich so noch mehr Leute finden, die Willens und in der Lage sind, diesen Virus zu analysieren. Dieser Virus ist in meinen Augen einfach zu gefährlich, als dass man sich über seinen Wissensstand ausschweigen könnte: Wer also Kenntnisse, Ergänzungen und Anregungen hat, der möge diese bitte öffentlich machen. |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Zitat:
Wer garantiert euch das in der verschlüsselten Datei nicht abermals ein Trojaner steckt? Wäre nicht das erste mal.. Daher kann ich nur zur vorsicht raten wenn auch wie oben mit lauten Geschrei. Das war's für mich zu dem Thema. gruss |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
So lange hier kein Trojaner hochgeladen wird, sehe ich keinen Grund den Thread zu schließen.
Wobei warum Trojaner? Spioniert er den Rechner aus und verschickt Daten? Wäre die Bezeichnung Virus nicht passender? |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Der Begriff "Trojaner" heißt ja nicht zwingend, dass er Daten ausspäht - das hat das griechische Pferd ja auch nicht gemacht.
Sondern es heißt nur, dass der Benutzer/Trojaner den Virus/Holzpferd freiwillig auf den Rechner/Stadt ließ, weil er meinte es wäre toll und nicht erahnte, wie böse es in Wirklichkeit ist. |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
OK, gewonnen. ;)
|
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Zitat:
Aber tut mir leid das sagen zu müssen. Haben die Leute immer noch nichts gelernt? Wie kann man nur ansatzweise daran denken Dateien von einem Unbekannten Absender zu öffnen :gruebel: Zum "glück" erstmal nur über Mail Es wäre schlimmmer wenn er über Webseiten veröffentlicht würde. Wäre auch kein großes problem siehe Stichwort Online - Games D3 und so weiter. gruss |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Emil, wenn du Bedenken vor den Dateien hast, dann lade sie einfach nicht herunter. Ich für meinen Teil freue mich sehr über diese fachlich spannende und tiefe Diskussion, nicht zuletzt weil es für mich eher Neuland ist, und total interessant wie die Damen und Herren hier da heran gehen. Und das auf eine gesittete und freundliche Art, die der DP gelegentlich auch mal gut tut ;)
Zudem wurde das meiste, so weit ich das verfolgt habe, ohnehin schon via Mail oder PN ausgetauscht, und die Teilnehmer hier wirken allesamt zu sehr mit der Materie vertraut, als dass man ihnen solche grobe Fahrlässigkeit vorferfen dürfen sollte. Und wie gesagt: Letztlich bist du selbst für deine Downloads verantwortlich, und dank des Kontextes hier sollte ja doch recht klar sein, dass "Unterlagen.pif" nicht für dich interessante Dokumente sein können. |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
JA, ja hab mich mittlerweile wieder beruhigt.
Und laden würde ich solche Dateien sogar angekündigt definitiv nicht. Destotrotz geschrieben ist geschrieben vielleicht hört ja jemand auf die Warnung wie auch immer. gruss |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
@brain_
Zitat:
|
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
@Luckie
Hallo Luckie, :-) Zitat:
Zitat:
Was ich sagen will ist, dass es vernünftiger wäre diesen Thread zu schließen um Delphi-Praxis nicht zu gefährden. Ich wäre dir Luckie darum bestimmt nicht böse. Wenn du es signalisierst, dann werde ich sofort zum TB umziehen. vg |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
@pcnberlin
WOW. Klasse!!! Für Leute die neu dazukommen und noch helfen wollen - das hier ist die erste Adresse um sich einen Überblick zu verschaffen: Analyse des Windows-Verschluesselungstrojaner-neue-VersionBeim 2 Aufruf (704 bytes Vermutung: public Key) handelt es sich hoffentlich nur um die Textdatei die man später auf seinem Desktop wiederfindet. Ich werde mich mich bis zum Schluss in Zweckoptimismus üben und davon ausgehen, dass die Entschlüsselung möglich ist. Mir ist klar, dass es leicht und naheliegend ist ein Verfahren zu wählen, welches nicht zu überwinden ist. Und wenn der Programmierer es jetzt noch nicht gemacht hat, dann wird er sicher in einer der nächsten Versionen diesen Schritt tun. Es ist nur wenig Programmierarbeit für ihn. Bisher aber gehe ich noch von einem symmetrischen Verfahren aus und gebe die Hoffnung nicht auf. vg nach Berlin :-) Meine Stadt ist zu klein um diese zu nennen. Beim den c&c-Server wird auffälliges Debuggen anscheinend per IP gebannt. |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Zitat:
Zitat:
Zitat:
|
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Liste der Anhänge anzeigen (Anzahl: 1)
Zitat:
Zitat:
|
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Liste der Anhänge anzeigen (Anzahl: 1)
@pcnberlin
Es ist natürlich bemerkenswert dämlich bei dieser Thematik Executables hochzuladen. Ich bin zwar einer von den "Guten" aber kann man ja nie sicher sein. Anbei findest du noch den Quellcode "SwitchBacksrc.zip" zum selbstkompilieren. :-) |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Hallo Marcu.
Kannst Du mir mal den aktuellen Verschlüsseler zur Verfügung stellen? Ich möchte mal ein bischen mit dieser Datei experementieren, die im Temp-Ordner abgelegt wird. Der SwitchBack funktioniert übrigens prima! :thumb: Michael |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
hi,
da ich jetzt erst mal aus dem urlaub zurück gekommen bin, muss ich erst mal meine mails durchgehen, beim ersten lesen hab ich viele neue mails im posteingang die neue samples enthalten. wer also eines will, bitte mal kurz bescheid geben. edit: wer will, kann sich auch im trojaner board anmelden, wir bieten dort ein geschlossenes forum, wo man sich austauschen kann. da diese leute teilweise mit zu lesen scheinen, was man daran sieht das die zb das tb nach der veröffendlichung des ersten entschlüsselungs programms lam gelegt haben, und wir ungern möchten das es anderen foren auch so geht, hatten wir uns dazu entschlossen. bei interesse ebenfalls per pm melden |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:11 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz