|
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Ich habe dann jetzt mal eine Nachricht an meinen Lieblingssender 1Live (
 www.einslive.de) verfasst und auf die Delphi-Praxis bzw. das Trojaner-Board verwiesen, sie mögen mal eine Warnung an die Hörerschaft rausbringen.Mal schauen. Michael |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
@Marcu:
Komme leider erst jetzt dazu zu antworten. Vielen dank für das Plugin, werde es testen. Hatte vorher ein Tool von Xylitol, das wollte aber leider bei diesem Trojaner nicht funktionieren. Übrigens habe ich noch was zu diesem ominösen "Schlüssel" herausgefunden. Der scheint hart codiert zu sein, denn er findet sich im Memory-Dump eines infizierten Rechners, der seit Infektion kein Internet hatte. D.h. dieser Schlüssel ist eindeutig fest. Ob ich heute noch zu viel mehr komme, weiß ich leider noch nicht (hab noch was richtiges zu arbeiten, z.B. muss ein Laptop von $Kunde vom Cryptovirus befreit werden *g*). Ah, ja und noch das: Der Trojaner schreibt, wenn ich das richtig beobachtet habe nach "C:\Documents and Settings\all users\Application Data\Microsoft\Crypto\RSA". @marcusg: Könnten wir die Dinger nicht alle an einen Platz laden, wo alle interessierten Zugriff haben (Dropbox / Skydrive o.ä.), sortiert nach Datum und mit MD5? |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
@Michael
Hallo Michael bestimmt hast du schon etwas aus dem unendlich großen Giftschrank von markusg bekommen nicht wahr? Es gibt verschiedene Versionen des Trojaners. Es ist glaube ich eine gute Idee wenn wir sicherstellen, dass wir nicht an verschiedenen Versionen arbeiten. Der Trojaner an dem ich arbeite meldet an seine C&C Server die Version "1.150.1" in der http Kommunikation. Deiner auch? So ein Mist. Ich sehe gerade, dass pcnberlin Version 1.170.1 untersucht. Das ist genau das was ich vorher geschrieben habe - der Virenprogrammierer versucht gar nicht erst etwas originelles abzuliefern. Dem liegt nichts daran als geschickter Malwareprogrammierer dazustehen und von ein paar pubertierenden Jungs verehrt zu werden. Der erreicht seine Ziele einfach indem er in schneller Folge eine Version nach der anderen in die Welt setzt und weiß dabei genau dass da kaum einer die Zeit und die Mittel hat gegen anzukommen. Der macht einfach alles mit Quantität platt. :wall: @pcnberlin Zitat:
Code:
oder
732jjdnbYYSUUW7kjksk***ndhhssh
Code:
Oder habe ich etwas übersehen und es gibt noch mehr? Neee kann doch nicht sein ... noch ein paar Nächte und ich kann den Code fast auswendig. :-) Oder etwa doch?
QQasd123zxc
Zitat:
Delphi-Quellcode:
Ich habe die hexadezimalen Werte im Code
CryptAcquireContext(@hProv, nil, nil, PROV_RSA_FULL, CRYPT_VERIFYCONTEXT);
CryptCreateHash(hProv, CALG_MD5, 0, 0, @hash); CryptHashData(hash, @pw[1], Length(pw), 0); CryptDeriveKey(hProv, CALG_RC4, hash, 1, @key); CryptDestroyHash(hash); . . CryptDecrypt(key, 0, True, 0, Buffer, @len); . . von #41 ersetzt. Genau diese Funktionen mit genau dieser Parametrierung stehen so im Trojanercode. Dabei handelt es sich nicht um ein Public/Privatekey Verfahren. Es gibt nur ein einziges Passwort und das verschlüsselt und entschlüsselt die Daten.Könntest du bitte nochmal nachprüfen, ob ich da recht habe? Oder findet sich ein Freiwilliger? Pcnberlin hat gerade Kundschaft und wenig Zeit.Vergiss nicht die Seriennummer der Festplatte deines Kunden aufzuschreiben und zum Image der Festplatte zu legen, pcnberlin. Für die Entschlüsselung der Daten wird diese Nummer sehr wahrscheinlich gebraucht. @markusg Zitat:
Ich bin immer noch hauptsächlich hier, weil ich ein kurzfristiges Ziel verfolge - nämlich die Dateien zu entschlüsseln. Ich programmiere zwar nicht mehr in Delphi aber lese hier trotzdem seit Jahren immer wieder mit und kenne daher viele der Programmierer bei DP und ihre Fähigkeiten. Falls ich mein Ziel erreiche, dann wird es hier schneller gelingen als auf dem TB. Solange kein Moderator den Kopf schüttelt versuch ich es hier weiter. Ich hoffe du verstehst es nicht falsch, Markus. Das TB-Team ist so dermaßen cool - so was kenne ich sonst nicht. Wie dort mit Stil und Know-How den Leuten geholfen wird ist für mich einzigartig. Aber hier finde ich Leute die ein tiefes Verständnis von der Funktionsweise von Programmen haben und einige haben sogar einen Debugger. Und das bringt mich schneller ans Ziel. vg @all |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Hallo Marcu.
Nur eine kurze Zwischenfrage, die Version 1.150.1 des Virus, an der du arbeitest, diese Version nimmt auch eine Umbennenung der verschlüsselten Dateien vor, korrekt? |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Ja genau. und zwar nach folgendem Muster:
z.B: shsdfgjkLKJasdHsGP also keine Dateierweiterung mehr. Nur Groß und Kleinbuchstaben. |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
@Marcu
Ja, ich meinte den Teilschlüssel mit ssh am Ende ;-). Den findet man im entsprechenden Dump, ist also statisch. Zitat:
Zitat:
Ich hoffe, morgen zu etwas mehr zu kommen, lg |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Ok, dann sollten die Jungs im Trojaner-Board mal die Infos updaten:
http://www.trojaner-board.de/115183-...te-umlauf.htmlich werd mal dort bescheid geben, die Versionsinfos up zu daten. |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Hallo Marcu.
Ich habe eines der Teile aus dem Giftschrank mit der Größe von ca. 64 kB probiert. War zumindest nicht direkt tödlich für meine VM, dank SwitchBack. :wink: Hat aber nix mehr verschlüsselt. Ich glaube, wir kommen dem Malwarefuzzie nur bei, indem der ganzen Welt (*mal ein bischen hochhinaus woll*) bewusst gemacht wird, nicht mehr diese Anhänge anzuklicken. Ansonsten ist er immer einen Schritt vorraus. Und da seh ich schwarz, wenn dieses Ding erstmal als Drive-By-Download** kommen sollte. Michael ** da durfte ich mal bei einem Kundenrechner Live-Zeuge bei sein, das geht ratz-fatz ohne das man was ausrichten kann |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
@Marcu
wie gesagt, es geht mir nur darum, dass wenn diese leute das mitbekommen, sie schnell ihren code anpassen können und damit die arbeit dann früher zu nichte gemacht wird, als wenn ein tool rausgebracht wird und dann erst die malware angepasst werden kann. und wie gesagt um mögliche probleme für dieses forum. ich wollte damit weder ein forum schlechter, noch eines besser machen, ich wollte nur eine alternative anbieten, wo man sich ungestört beraten kann, da wir das intern machen, wo keiner mit lesen kann. wegen der versionsnummern, ich glaube die sind im laufe der entwicklung eher willkürlich geworden. |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Hat schon jemand Überlegungen angestellt ich die Richtung, dass ev der neue Dateiname der schlüssel einer jeden datei sein könnte? Ich glaube fast nicht, dass das alles random ist.
Zumal kommen lediglich gewisse Buchstaben, und nicht alle vor, auch sind keine zahlen enthalten. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:00 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz