Delphi-PRAXiS - Verschlüsselungs-Trojaner, Hilfe benötigt

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)

- Algorithmen, Datenstrukturen und Klassendesign (https://www.delphipraxis.net/78-algorithmen-datenstrukturen-und-klassendesign/)

- - Verschlüsselungs-Trojaner, Hilfe benötigt (https://www.delphipraxis.net/168380-verschluesselungs-trojaner-hilfe-benoetigt.html)

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

wobei mir einfällt.
in der sd.7z in dem ordner bins müsstest du alle dateien drinn haben, auch die gedroppten, und da sind ja auch verschlüsselte bilder dabei.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

Vermutlich habt ihr das schon ausprobiert, aber ich hab nichts dazu gefunden und nicht genug Zeit, selber zu experimentieren.

Ist der fehlende Passwortteil vielleicht der "zufällige" Dateiname? Die Dateinamen die ich bisher erwähnt gesehen habe, schauen mir irgendwie nach Base64-Encoding aus. Wenn man jetzt den Dateinamen nimmt, dekodiert und mit dem restlichen Paswortteil kombiniert, kommt ja vielleicht was brauchbares dabei raus? Ist wohl einen Versuch wert. Evtl. findet man auch die aus dem Dateinamen dekodierten Bytes in dem großen File wieder, was der Virus auf der Platte ablegt. Ich hab da weiter vorne im Thread was von 5MB gelesen :)

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

@Marcu:

Falls es ein wenig hilft: Dieses Passwort scheint Maschinenunabhängig zu sein, ich habe es beim Debuggen auch gefunden:

Anhang 36965

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

ich lese hier mit Spannung mit (kenne einen betroffenen mit kleinunternehmen) und könnte seine recht aktuelle .pif datei zum experimentieren zurverfügung stellen.

wünsche weiterhin gutes debuggen.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

@cag83
Bitte schaue in deine Postfach :-)

@pcnberlin
vielen Dank für die Bestätigung! Du hättest nicht vielleicht Zeit und Lust weiterzumachen ... Auf dem

Trojaner Board sind alle herzlich willkommen - ganz besonders die Leute mit einem Debugger :D

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

Hi OldGrumpy

schade, dass du keine Zeit hast :-(

Ich habe auch mein Glück versucht und verschiedene Möglichkeiten die mir einfielen einfach mal ausprobiert, aber leider kein Erfolg bisher. Mit Base64-Encoding habe ich keine Versuche unternommen, da ich bisher davon im Code nichts gesehen habe. Das "Raten" hab ich auch aufgegeben - da hatte ich kein Glück - jetzt mach ichs halt auf die harte Tour und übersetze Stück für Stück zurück. Irgendwann wird der Groschen dann schon fallen :-D

Zitat:

Zitat von OldGrumpy (Beitrag 1168301)

Ist der fehlende Passwortteil vielleicht der "zufällige" Dateiname? Die Dateinamen die ich bisher erwähnt gesehen habe, schauen mir irgendwie nach Base64-Encoding aus. Wenn man jetzt den Dateinamen nimmt, dekodiert und mit dem restlichen Paswortteil kombiniert, kommt ja vielleicht was brauchbares dabei raus? ..:)

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

Warum das Sample nicht überall läuft könnte daran liegen das ihr eine Sandbox benutzt was vom Trojaner überprüft wird

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

Mittlerweile hat es dann doch geklappt. Ich war schlicht zu ungeduldig.

Der Virenprogrammierer verfolgt offenbar eine andere Strategie. Er denkt sich nicht lange und mühsam etwas Neues aus um die Analyse zu erschweren - etwas Geniales, was nicht jeder schon kennt und im Handumdrehen ausknipst, sondern er setzt sich einfach kurz mal hin und macht eine neue Version seines Trojaners. :-(

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

Hallo,
anbei mal die Daten und Erkenntnisse, die ich auf einem betroffenen System so gesammelt habe:

Trojaner
Name: Unterlagen.pif
Datum: Mittwoch, 23. Mai 2012, 21:51:40
Grösse 48.128 Bytes
MD5: e7c55ac32bd694ec72200c31d6f4793e

"Sicherheitskopie" Trojaner
Name: AppData\Roaming\Gutfvyrtff\6E3A053CEABDDA2E2FFE.ex e
Datum: Mittwoch, 23. Mai 2012, 22:25:03
Grösse 48.128 Bytes
MD5: e7c55ac32bd694ec72200c31d6f4793e

Temp-Dateien:

Name: EABDDA2E48542D584E490078
Datum: Mittwoch, 23. Mai 2012, 22:25:18
Grösse: 1.048 Bytes
MD5: 02c4734330ebfaf54e494642a0188a35

Name: EABDDA2E48542D584E49.$02
Datum: Mittwoch, 23. Mai 2012, 22:29:59
Grösse: 2,55 MB (2.676.578 Bytes)
MD5: 2e1dbf0e11c23ef8301ac5c8617cada4

Ich gehe ganz stark davon aus, dass sich in der 2,5 MB Temp-Datei in verschlüsselter Form die neuen Dateinamen inklusive der zugehörigen Original-Dateinamen befinden. Das würde die unterschiedliche Datei-Grösse im Vergleich zu anderen betroffenen Systemen erklären. Evtl. ist dort auch der (Teil-)Schlüssel zur Verschlüsselung gespeichert. Da berichtet wurde, dass redundante Dateien nach dem Verschlüsseln unterschiedlich verschlüsselt sind und verschiedene Dateinamen haben wird wohl wahrscheinlich der Dateiname Bestandteil des Schlüssel sein oder halt ein entsprechender gespeicherter Wert.

Ich vermute die kleine Datei wird irgendwie einen heruntergeladenen oder generierten Schlüssel enthalten. Erstellungsdatum ist 15 Sekunden nach Aktivierung, bzw. Replikation des Trojaners im System. Die Dateigrösse scheint bei allen betroffenen Systemen gleich zu sein.

Vielleicht bringen diese Daten ja einen passenden Denkanstoss in die richtige Richtung.

Habe leider von Kryptographie wenig bis garkeine Ahnung und zum Debuggen fehlen mir die Möglichkeiten.

Den Decrypter-Algo habe ich mir schon in ein kleines Testprogramm implementiert. Falls es was zu testen gibt, helfe ich gerne, mit Delphi kann ich umgehen und ich habe knapp 2gb verseuchte kleine Dateien mit den zugehörigen Originalen.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

Mal ne frage..
Wird die DP jetzt mit Trojanern unterwandert/verseucht?
Oder wie muss ich das sehen wenn hier soviele Infizierte Daten hochgeladen werden.

Auch wenn ich euren frust verstehen kann.
WARUM KANN MAN DAS NICHT PRIVAT MACHEN ?

Ich muss das wissen ... Denn dann bin ich weg hier.

gruss