AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

@Marcu
wie alt ist deine trojaner version?
du benötigst dringend eine, die zu einem funktionierendem server verbindet, sonst wird das nichts mit der verschlüsselung.
da ich nicht genau weis ob ich hier solche infos anhängen darf, sende ich dir mal ein joebox report mit whireshark report + dropper als private nachicht

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Kannst mir bitte auch den aktuellen schicken, meine VM will gefüttert werden.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Hi Markus,

ja. ich habe die falsche Version. Heute morgen habe ich mit der Rückübersetzung begonnen weil bei mir der Virus nicht richtig funktionierte und seit heute nachmittag denke ich darüber nach ob ich Kopfschlagen an der nächsten Bordsteinkante spielen soll.

Im falschen Virus habe ich die Funktion gefunden, welche rekursiv den Verzeichnissbaum durchwandert und verschlüsselt. Die Dateinamen werden jedoch ganz anders gebildet als ich es erwartet habe. Da wird eine Erweiterung angehängt die mit folgender Funktion berechnet wird.

Daran habe ich dann endlich gemerkt, dass ich am falschen Virus arbeite.

Ich ringe noch um meine Fassung. Wenn ich die wiederhabe, dann lade ich mir den Virus runter den du zur Verfügung stellst. Danke!

Viele Grüße an Dich und dein Team

Noch etwas nebenbei. Die rekursive Funktion für das Durchwandern eines Verzeichnisbaums hat der Virenprogrammierer per cut und paste nochmal in seinen Virus eingefügt. Dann hat er den Aufruf der Verschlüsselungsroutine mit dem Aufruf einer Dateilöschroutine ersetzt.

Eine solche Codeverdoppelung sollte man vermeiden und stattdessen eine generische Funktion schreiben, der man dann die gewünschte Aktionsfunktion per Pointer übergibt. Der Virenprogrammierer ist also ein sehr mittelmäßiger Programmierer und hat keinen guten Stil.

ich kommentiere eigentlich niemals den Programmierstil eines anderen auf negative Weise. Aber diesmal mach Ich eine einzige Ausnahme. :-D

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

hi,

erst mal danke, dass ihr euch überhaupt daran macht, eine lösung zu finden.
es gibt verschiedene version der malware.

älteste version:
datei name wird geendert:
locked.dateiname.normale endung.zufällige vierer endung.
da wird dann eine rc4 verschlüsselung genutzt.
es gibt wohl auch eine version mit 6 zufalls zeichen am ende, die hab ich persönlich aber nie gesehen.
seit version 1.4
wird die datei dann zufällig benannt, wobei interessant ist, dass bei einigen nutzern angeblich ein anhängen der normalen endung reicht, um die datei öffnen zu können.
version 1.5 verschlüsselt nur noch, ohne irgend eine endung hinzuzufügen.
bei beiden ist mir die genutzte verschlüsselung nicht bekannt.

wenn sie nicht grad wieder versuchen, das postfach, über das wir im trojaner board die malware mails einsammeln, mit 100000 spams zu fluten, kann ich euch immer die neuesten dropper zukommen lassen.
wichtig ist, wenn ihr testet und die verschlüsselung erreichen wollt, aktieve internet verbindung und ein funktionierender cc server sind nötig.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Hallo,

@markusg:

> ... wobei interessant ist, dass bei einigen nutzern angeblich ein anhängen der normalen endung reicht, um die atei öffnen zu können.

Mögliche Erklärung: es handelt sich um mp3s, die kratzt es wenig wenn die ersten 12 KB fehlen, weil sich der decoder wieder auf den Datenstrom aufsynchronisiert.

Auch von mir Danke an alle, die hier debuggen und den Code versuchen zu knacken.

mfg
Werner

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

danke für diese info.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Ich würde mir das Ganze auch mal anschauen.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

@BlackSeven
ein paar dropper sind raus an dich.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

:thumb: Danke.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

wenn mehr gebraucht wird, bescheid geben