Delphi-PRAXiS
Seite 1 von 34  1 2311     Letzte » 

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Algorithmen, Datenstrukturen und Klassendesign (https://www.delphipraxis.net/78-algorithmen-datenstrukturen-und-klassendesign/)
-   -   Verschlüsselungs-Trojaner, Hilfe benötigt (https://www.delphipraxis.net/168380-verschluesselungs-trojaner-hilfe-benoetigt.html)

Michael Habbe 18. Mai 2012 00:54

Verschlüsselungs-Trojaner, Hilfe benötigt
 
Hallo Leute.

Vor ein paar Tagen ist ein neuer Verschlüsselungstrojaner aufgetaucht, der die ersten 12288 Bytes in Bildern und Dokumenten verschlüsselt. Zusätzlich wird der Dateiname umgewandelt.

Im Trojaner-Board sind einige Leute dabei, die Dateien auseinanderzunehmen, um eine Entschlüsselungsroutine zu finden.
Nun weiss ich, es gibt hier Profis, die sich damit bestens auskennen.
Vielleicht könnte sich der ein oder andere damit mal auseinandersetzen, um zur Lösung beizutragen.
Hier sind der Post, in dem alles zu den Details geschrieben steht.
http://www.trojaner-board.de/115183-...te-umlauf.html

Danke
Michael

mkinzler 18. Mai 2012 09:25

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Es gibt wohl schon Tools diverser Antivirusherstellern

Michael Habbe 18. Mai 2012 11:08

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Liste der Anhänge anzeigen (Anzahl: 3)
Hallo Markus.

Ich hätte mehr Infos geben müssen, war wohl schon zu spät.


Du hast Recht, es gibt diverse Tools von diversen AV-Herstellern. Diese beziehen sich aber nur auf den Verschlüsselungstrojaner, der aus einer normalen "Datei.ext" eine Datei namens "locked-Datei.ext.yxwd" macht. Diese Variante war recht einfacht zu entschlüsseln, da jede Datei mit dem gleichen Schlüssel cryptiert wurde.

Die neue Variante geht rabiater vor. Zuerst mal wird jede Datei mit einem anderen Schlüssel verschlüsselt. Ich habe eine Testreihe mit ein und derselben Bilddatei vorgenommen. Die Datei, die mit unterschiedlichem Dateinamen in ein und demselben Verzeichnis lag, sowie als Kopie in verschiedenen Unterordnern, weist innerhalb der ersten 12288 Bytes keinerlei Ähnlichkeit auf (habe ich allerdings nur mit einem HEX-Editor per Auge verglichen). Dann wird die Datei umbenannt und zwar so: nvpeQsEEUTODXNVqyssQ oder stEQuUUQdUAOllvVqqts oder rVqodagODAGfyssuuaEd .....

Da im Moment nichtmal bekannt ist, ob sich die Dateien überhaupt jemals wieder herstellen lassen, wollte ich um Hilfe bitten.


Michael

UliBru 18. Mai 2012 11:25

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Wenn ich mal das Schlimmste annehme, dann geh ich davon aus, dass zu einer Zahlung aufgefordert wird, aber auch nach Zahlung sowieso keine Antwort kommt hinsichtlich einer Entschlüsselung.
In diesem Sinn könnten die Dateien beliebigst mit Zufallszahlen verschlüsselt/versehen sein. Es gibt dann nicht mal eine Entschlüsselung. Was möglicherweise dazu führt, dass die Betroffenen erst recht zahlen. Weil alle Bemühungen einer Entschlüsselung scheitern, man findet also keine Hilfe woanders.

Tja und solange die Rechnungen noch halbwegs einfach als Fake erkennbar sind, mag das alles noch gutgehen. Wenn ich mir vorstelle, dass da beispielsweise plötzlich Telekom-Rechnungen o.ä. gefaked werden, also was man üblicherweise jeden Monat ins Haus bekommt ...

Frage: es passiert erst etwas, wenn der Dateianhang geöffnet wird. Wie wird dann der Trojaner aktiv? Ist das dann sowas wie eine versteckte Dateierweiterung?

Ich will wieder zurück zum Papier im Büro !

Marcu 20. Mai 2012 14:27

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Liste der Anhänge anzeigen (Anzahl: 1)
Die Verschlüsselungsroutine ist schwer zu finden. In der Virusdatei die ich habe, gibt es nichts was danach ausschaut. Ich vermute, dass der Virus die Verschlüsselungroutine noch irgendwann downloaded. Leider weiß ich noch nicht wie man das triggert. Ich gehe optimistisch davon aus, dass es so eine Routine gibt. Natürlich könnte auch lediglich Trash in die Dateien geschrieben worden sein :-( Aber so sind die Vorgängerversionen dieses Virus nicht geschrieben.

Die Version (60.928 Bytes) bei der die Entschlüsselungsroutinen versagen, hängt sich per Codeinjection in "ctfmon.exe" bei 0x7FF94D59 ein. Dann werden erstmal regedit, Taskmanager etc. unzugänglich gemacht und eine Cab-datei mit 6 Bildschirmmaskenbilder runtergeladen. Dann noch eine Textdatei in der Bla-bla Drohungen und Forderungen für den Fall von mehreren Cashcode-Fehleingaben steht. Aber eben kein Code mehr. Danach macht der Virus den Desktop dicht und zeigt seine Forderung.

Und an diesem Punkt hänge ich momentan. Die Verschlüsselung der Dateien will bei mir einfach nicht starten. Es gibt kein weiteres download mehr. Es geschieht nichts weiteres.

Mein Rechner erfüllt anscheinend nicht die geforderten Systemvorrausetzungen für diesen Virus :?

Falls da mal einer reinschauen will.... ich wäre für jede Idee oder Hinweis sehr dankbar!

Viele Grüße
Marcus

Zacherl 20. Mai 2012 16:11

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Vermutlich erkennt die Schadsoftware einfach, dass du ihr einen Debugger angehangen hast und führt die Verschlüsselung dann nicht aus, um die Analyse zu erschweren. Was genau verwendest du für deine Analyse? OllyDbg?

Marcu 20. Mai 2012 16:40

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Hi Zacherl,

die Verschlüsselungroutine startet auch nicht wenn ich keinen Debugger am beobachten habe ... und startet nicht wenn ich mehrmals neustarte, mehrmals falsche Paysafecard codes eingeb oder im abgesicherten Modus starte.

Nichts tut sich... jemand auf "trojaner-Board.de" meinte dass die Verschlüsselung nur an Donnerstagen ausgeführt wird. Klingt seltsam für mich, aber an diesem Strohhalm versuche ich mich gerade.

Luckie 20. Mai 2012 16:49

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Also ich würde den Dateiinhalt einfach mit Müll überschreiben. Warum die Mühe machen eine Verschlüsselung zu implementieren? Das Geld habe ich ja.

Marcu 20. Mai 2012 17:11

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Dieser virus hat vorgaengerversionen deren verschluesselungsmethode aufgedeckt wurden. Bei den vorgaengern wurde tatsaechlich verschluesselt nicht einfach zerstoert. Darum die hoffnung dass es auch diesmal so ist.

Das problem ist , dass die verschluesselung und der virus zunehmend komplexer werden. In der Zahlungsaufforderung ist jetzt von 256bit Aes die Rede. :( Wenn das kein Bluff ist dann sieht es finster aus. :(

Aus sicht des virenprogrammierers mit langfristigem plan fuer sein geschaeftsmodell macht es auch sinn nicht zu zerstoeren. Wuerde es sich herumsprechen, dann wuerde sicher gar niemand mehr bezahlen.

sx2008 21. Mai 2012 02:53

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Hast du den Virus schon mal in einer Sandbox (sandboxie.com) laufen lassen?
Der Vorteil ist, dass du nachträglich jede veränderte Datei und jede Änderung in der Registry sehen kannst.
Klappt natürlich nur wenn der Virus nicht bemerkt, dass er in einer Sandbox läuft und keine Gegenmaßnahmen unternimmt.


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:53 Uhr.
Seite 1 von 34  1 2311     Letzte » 

Powered by vBulletin® Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2019 by Daniel R. Wolf