Delphi-PRAXiS - Verschlüsselungs-Trojaner, Hilfe benötigt

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)

- Algorithmen, Datenstrukturen und Klassendesign (https://www.delphipraxis.net/78-algorithmen-datenstrukturen-und-klassendesign/)

- - Verschlüsselungs-Trojaner, Hilfe benötigt (https://www.delphipraxis.net/168380-verschluesselungs-trojaner-hilfe-benoetigt.html)

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

Es wird langsam OT. :cry:

Michael

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

hi, sehe ich auch so.
dieser thread sollte nicht für sollte hätte könnte verwendet werden.
es ist nun mal so und wird wohl leider immer so bleiben, das leute auf soetwas reinfallen.
das hatt auch nichts mit dem ie zu tun, der aus meiner sicht zu unrecht verteufelt wird, denn wenn du deine software nun mal nicht aktuell hällst, kann dir das mit jedem browser passieren.
zumal hier ja keine sicherheitslücken genutzt werden, und der spam an sich auch nicht so schlecht gemacht ist.
wegen der ip:
ich kümmere mich darum das sie an die richtige stelle gelangt.
und die alten samples sende ich dir noch.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

Hi zusammen,

ich habe gerade auch eine Festplatte mit verschlüsselten Dateien liegen.

Dateinamen: beliebig, z.B. OjLqEjLpeTDpesdGf
verschlüsselt: 3k hex Bytes, Rest wie Original
Temp-Dateien: hier sind bei den Temp-Dateien die ersten 19 Bytes unterschiedlich, der Rest scheint gleich zu sein.

blöderweise viele wichtige, nicht gesicherte Dateien.

wer Interesse an den/einigen Dateien hat, bitte melden.

Grüsse
Jochen

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

@pcnberlin
hast du die ips der whois abfragen alle gespeichert? die hätte ich gern.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

@markusg
Nein, habe keine komplette Aufzeichnung. Allerdings hat sich da auch immer nicht viel geändert. Nur die Domains, die genutzt werden ändern sich ab und an. Und die IPs, die jetzt aktiv sind, waren auch schon früher aktiv. Bei der schweizer fand ich es halt ganz interessant. Da läuft aber auch wieder ein aktuelles Linux drauf. Der Rest der IPs waren immer Russland, China, US, CA (Hardware-Switch o.ä.) und einmal war eine NL dabei.

Hat jemand Lust, ein kleines Script zu schreiben, dass die domains überwacht (und bei neuen EU-IPs eine Mail ans BKA abfeuert)? :-)

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

ich hab ja schon passende kontakte, nen tool währe da also nciht von nöten.
ob die ips in china oder ru liegen is auch egal, interessant sind sie trotzdem :-)

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

Hi!

ist eien Chance auf Decrypt nun eigentlich gestorben? Oder arbeitet hier noch jemand daran?
Im Trojaner-Board melden sich täglich Kunden, die vor ihren verseuchten Files sitzen und nicht wissen obs sie neu aufsetzen sollen oder noch warten sollen unw.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

Hallo

in der angehängten Datei befindet sich ein Programm (inkl Source) mit dem man das Temp-File ohne Erweiterung entschlüsseln kann. Der Virus muss sich verschiedene Informationen merken. (z.B: Wie viele Fehleingaben es bereits gab.) So etwas findet man in diesem ersten TmpFile.

@pcnBerlin und alle die einen Debugger haben
Hast du eine Idee wie wir übersetzten Assemblercode so tauschen können, dass der andere schnell die entsprechende Codestelle im Virus finden kann? Sollen wir eine hexadezimale Bytefolge als Kommentar in den Delphicode reinschreiben? Hast du eine Ahnung was für eine Bedeutung hinter der Zeichenfolge "12341234123412341234" im Tmp-File steckt? Ist mir bisher noch nicht über den Weg gelaufen.

(Damit kein falscher Eindruck entsteht... ich spreche Delphi normalerweise nicht mit so ausgeprägtem C-Akzent. Das ist nur damit man schneller im Virencode die Parallele findet :-D )

@CAG83
Ich glaube jeder einfühlsame Mensch hat ein Problem dir zu antworten und hofft lieber etwas übersehen zu haben was ein anderer hoffentlich findet.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

@Marcu:
Ich versuche, einfühlsamer zu werden;-)
OT aus.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

@CAG83

Auch hier bei mir kommen leider immer mehr Anfragen. Unsere Strategie bei verseuten Rechnern:
1) Komplettsicherung mit z.B. True Image, wenn die Daten sehr sehr wichtig sind, dann ein dd-image
2) Virus entfernen
3) Daten retten / shadow copy -> externe HDD
4) System neu installieren, Updates, Virenscanner
5) Daten zurück

@Marcu

Hey, schön wieder etwas von Dir zu lesen! Ich bin begeistert, dass Du immer noch an dem Trojaner arbeitest. Hier ist leider gerade Land unter und ich komme nicht zum Debuggen :-(

Zitat:

Zitat von Marcu (Beitrag 1169510)

in der angehängten Datei befindet sich ein Programm (inkl Source) mit dem man das Temp-File ohne Erweiterung entschlüsseln kann. Der Virus muss sich verschiedene Informationen merken. (z.B: Wie viele Fehleingaben es bereits gab.) So etwas findet man in diesem ersten TmpFile.

Schade, wenn es nicht mehr sein sollte, aber super Arbeit! Ich werde mir das dann auch mal genauer anschaun.

Zitat:

Zitat von Marcu (Beitrag 1169510)

@pcnBerlin und alle die einen Debugger haben
Hast du eine Idee wie wir übersetzten Assemblercode so tauschen können, dass der andere schnell die entsprechende Codestelle im Virus finden kann? Sollen wir eine hexadezimale Bytefolge als Kommentar in den Delphicode reinschreiben? Hast du eine Ahnung was für eine Bedeutung hinter der Zeichenfolge "12341234123412341234" im Tmp-File steckt? Ist mir bisher noch nicht über den Weg gelaufen.

Zur Ersten Frage: Ich habe leider spontan keinen Einfall, wie das zu realisieren wäre. Gibt es hierfür nicht irgendein plugin für OllyDbg (Logfile o.ä.)? Zur Zweiten Frage: Von der Zeichenkettenlänge her könnte es sich um einen Platzhalter für einen Paysafe/Ucash-Code handeln, ansonsten ist es mir auch noch nicht über den Weg gelaufen.