Delphi-PRAXiS - Verschlüsselungs-Trojaner, Hilfe benötigt

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)

- Algorithmen, Datenstrukturen und Klassendesign (https://www.delphipraxis.net/78-algorithmen-datenstrukturen-und-klassendesign/)

- - Verschlüsselungs-Trojaner, Hilfe benötigt (https://www.delphipraxis.net/168380-verschluesselungs-trojaner-hilfe-benoetigt.html)

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

Zitat:

Zitat von EWeiss (Beitrag 1169311)

Zitat:

Was mir pers. in deinem Statement nicht gefällt, ist der Umstand, dass du die Täter in Schutz zu nehmen scheinst (Anzeige).

Keines falls.
Aber jeder ist doch für sein tun selbst verantwortlich das kann einem niemand abnehmen.
Wie schon gesagt sollte der Virus jedoch ohne eigenes verschulden beim öffnen einer Webseite installiert werden
dann ist das tragisch und es tut mir leid für die Leute die dann davon betroffen sind.

Aber wie Daniel schon sagt!

Zitat:

Bedenke bitte, dass Dich niemand zur Beteiligung an diesem Thema zwingt.

Ziehe ich mich besser zurück.
Harte Meinungen die nicht allen gefallen, gefallen können scheinen nicht erwünscht zu sein.
So kann sich das alles wieder etwas beruhigen.

gruss

So - hoffe jetzt, daß wir uns nun wieder ernsthaft der 'Sache' annehmen können und durch deartige 'Belehrungen' nicht mehr gestört werden!

Mittlerweile habe ich in anderen Foren auf den ich ebenfalls jetzt angemeldet bin mitbekommen, daß sich die Sache extrem ernsthaft ausbreitet.

Ich habe mich mittlerweile mit der Kripo unserer Stadt unterhalten - innerhalb 3 Tagen wurden 15 Strafanzeigen gegen Unbekannt gestellt. Der Kripobeamte wußte am Telefon extrem gut Bescheid über den neuen Trojaner der noch nicht entschlüsselt werden kann und hatte seine Informationen von weiteren EDV-Kripokollegen aus anderen Städten Deutschlands bei den Strafanzeigen eingingen deswegen. Würde mich also nicht wundern, wenn das in Kürze in entsprechenden Medien publiziert wird.

Ich bin selbst am 'debuggen' was die Verschlüsselung angeht - bin allerdings mit meinem 'Latein' echt am Ende. Jedenfalls werde ich alles dran setzen in nächster Zeit Informationen über die neue Verschlüsselung zu sammeln und diese für alle posten, damit möglichst bald eine Entschlüsselung gefunden und verbreitet werden kann!
.....die Hoffnung stirbt zuletzt.....

RMC

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

Zitat:

Zitat von Michael Habbe (Beitrag 1169316)

Ich habe heute nachmittag vom Kunden eine Mail mit Anhang weitergeleitet bekommen, den er diesmal nicht geöffnet hat. Dort drin wieder eine Rechnung.pif, die ich sofort in meiner VM aktiviert habe.

Ich hatte einen Ordner mit über 5100 Textdateien erstellt, die denselben Inhalt haben, siehe Anhang.
Nun ist es eingetreten, was ich versucht hatte zu erreichen: Es sind zwei verschlüsselte Dateien aufgetaucht, die den gleichen Namen erhalten haben: "NXaQlAULnxDNXaulAU". Allerdings sind die ersten 12 kB nicht gleich.
aber
Der Dateiname kann Zufall sein, ich überlege, ob ich Dateien erstelle, in deren Inhalt eine fortlaufende Nummer abgespeichert ist, zwecks Wiederfinden.

.. ich lese hier interessiert mit.

Hattest Du die Möglichkeit den Netzwerkverkehr aufzuzeichnen?
Falls er nicht verschlüsselt ist, sollten da doch einige nützliche Informationen enthalten sein.

Grüße
Klaus

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

@pcnberlin
kann ich dir gar nicht so genau sagen, muss ich mir mal angucken.

84.72.41.161
bei welchem sample hast du diese ip gefunden?

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

Zitat:

Zitat von Klaus01 (Beitrag 1169320)

Hattest Du die Möglichkeit den Netzwerkverkehr aufzuzeichnen?
Falls er nicht verschlüsselt ist, sollten da doch einige nützliche Informationen enthalten sein.

So, habe das mal nachgeholt. Hat lange gedauert, ich dachte erst, er würde nix mehr verschlüsseln.
Habe die Protokolldatei von Wireshark angehängt.
Zudem wurden wieder zwei Dateien gleichen Namens (srUEsxjrXJueNUEsGArpv) erzeugt. Auch anbei. Die Dateien aus dem Temp-Ordner kann ich bei Bedarf nachreichen.

Michael

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

hab auch noch n paar whireshark protokolle falls nötig.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

@markusg
Funktioniert der alte Cryptovirus überhaupt noch, wenn ja, dann überträgt er vermutlich nichts wichtiges. Wäre aber schon interessant. Kannst mir auch gerne einige Samples zukommen lassen, dann kann ich das auch alleine anschaun ;-)
Zu der fraglichen IP: Ich beobachte regelmäßig, was ein whois auf die verschiedenen CC-Server ergibt. Und da war diese IP dabei. Ist zwar vermutlich ein Dialup, aber vielleicht läuft da auch mal keine Linux-Box, die so abgesichert ist oder man kann ggf. per Strafverfolger was erreichen. Das sollten wir im Auge behalten.

@RMC & Michael Habbe & alle

Ich weiß nicht genau, wie ich Eure letzten Posts verstehen soll: Ihr schreibt, dass Ihr den Netzwerkverkehr aufzeichnen wollt & am Debuggen seid. Seit dieser Thread gestartet wurde, wird hier doch nichts anderes getan, als diesen Trojaner zu analysieren.

Wir wissen zu ca. 90%, wie er funktioniert. Wir wissen sehr genau, wie der Netzwerkverkehr aussieht (drei Aufrufe, verschiedene Domains, unverschlüsselt), wie er verschlüsselt (RSA RC4, MD5, CAPI: Danke an Marcu), was er für Dateien anlegt (System32, Benutzerverzeichnis, .pre-Dateien, %temp%-Dateien), welche Registry-Einträge er macht. Ja, wir wissen auch wie eine Entschlüsselungsroutine (

http://www.delphipraxis.net/1167848-post41.html) theoretisch aussehen könnte.

Ich habe das alles soweit hier zusammengefaßt:

http://blog.save-privacy.de/index.ph...e-Version.html

Wenn Ihr also die Hoffnung* noch nicht aufgegeben habt, oder Ideen habt, wie man doch noch etwas erreichen könnte, dann postet bitte diese Ideen und ruft nicht nur nach verschlüsselten Dateien, weiteren Samples usw und laßt uns ZUSAMMEN daran arbeiten! Es macht einfach keinen Sinn, die Hoffnung der Betroffenen zu schüren ohne konkrete Hinweise zu haben, etwas erreichen zu können. Und es ist auch nicht sinnvoll, wenn jeder für sich bei Null beginnt, weshalb wir Transparenz brauchen.

Und wenn es nun doch so aussieht, dass es gegen diesen Trojaner keine Lösung geben sollte (auf die Verschlüsselungsproblematik bezogen), dann sollte das auch offen so kommuniziert werden!

* Ein möglicher Ansatzpunk wäre z.B. noch mal zu verifizieren, wie der Basekey gebildet wird. Wenn dieser statisch, z.B. maschinenabhängig wäre, ließe sich eventuell ein Keygen schreiben, wenn er mit Zufallswerten bestückt ist, haben wir verloren. Aber: Wenn dieser Schlüssel doch noch irgendwo abgelegt wird, dann ... Letzteres wollte sich Marcu noch anschaun & wer hier helfen kann - das wäre auf alle Fälle ein sinnvoller Ansatzpunkt.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

Zitat:

Zitat von Marcu (Beitrag 1167900)

... Der Virus schreibt eine Kopie von sich selbst letztendlich in das Verzeichnis "c:\windows\system32\"

Arbeitet ihr etwa alle als Administratoren? Oder wie soll ein Programm irgendetwas nach c:\windows\system32\ schreiben dürfen? Und wenn das so ist, dass hier als Administrator gearbeitet wird, dann kann ich da nur selbst schuld zu sagen. Man arbeitet (genau aus diesem Grund) nicht als Administrator!

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

Zitat:

Zitat von omata (Beitrag 1169372)

Zitat:

Zitat von Marcu (Beitrag 1167900)

... Der Virus schreibt eine Kopie von sich selbst letztendlich in das Verzeichnis "c:\windows\system32\"

Arbeitet ihr etwa alle als Administratoren? Oder wie soll ein Programm irgendetwas nach c:\windows\system32\ schreiben dürfen?

Da hast du zwar prinzipiell recht (mal Exploits oder Lücken im System außen vor gelassen), aber es genügt völlig, wenn sich Schadsoftware ins Verzeichnis des Benutzers schreiben kann und die Dateien des Benutzers verschlüsselt. Dagegen hilft auch keine Beschränkung auf Gastrechte. Das einzige, was helfen würde, wäre ein Verhindern des Löschens von Dateien durch eine Art "Sticky" (das geht auch auf NTFS), allerdings hindert sowas natürlich auch beim normalen Arbeiten mit Dateien. Genau das ist ja der Grund, warum diese Kategorie von Schadsoftware so gefährlich ist. Klar, Backups kann und sollte man machen, aber auch damit kann man sich nicht gegen alles wappnen.

MfG Dalai

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

Zitat:

Zitat von Dalai (Beitrag 1169374)

... aber es genügt völlig, wenn sich Schadsoftware ins Verzeichnis des Benutzers schreiben kann ...

Das ist mir klar. Aber hier wurde von einem System-Verzeichnis gesprochen und das deutet nunmal daraufhin, dass hier mit Systemen (die sich im öffentlichen Netz befinden) scheinbar unverantwortlich gearbeitet wird. Vermutlich wird auf solchen Systemen dann auch noch der Internet-Explorer zum surfen verwendet oder Outlook für die Mails verwendet. Da braucht man sich nun wirklich nicht wundern, das die Kiste verseucht wird.

Aber ich will eure Diskussion hier nicht stören. Ich hatte nur aufmerksam gelesen und musste mein Kopfschütteln mal zum Ausdruck bringen.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

Zitat:

Zitat von omata (Beitrag 1169376)

Vermutlich wird auf solchen Systemen dann auch noch der Internet-Explorer zum surfen verwendet oder Outlook für die Mails verwendet. Da braucht man sich nun wirklich nicht wundern, das die Kiste verseucht wird.

Womit begründest du deine Annahme, dass der IE zum surfen unsicher sein sollte? Oder dass Outlook unsicherer ist als irgendein x-beliebiger anderer Mailclient? Klingt für mich eher nach subjektivem Fanboy-geflame...

Zitat:

Zitat von http://t3n.de/news/browser-sicherheit-chrome-firefox-ie9-351222/

Google hat das unabhängige Sicherheitsunternehmen Accuvant beauftragt, aktuelle Browser einem Sicherheitscheck zu unterziehen. In diesem Test konnte der Google-Browser den ersten Platz belegen - der Open Source-Browser Firefox musste sich selbst Microsofts Internet Explorer 9 geschlagen geben. Chrome konnte sich besonders durch die zum Einsatz kommende Sandboxing-Technologie und Plug-in-Sicherheit gegen die Konkurrenz behaupten.