Delphi-PRAXiS
Seite 2 von 9     12 34     Letzte » 

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Algorithmen, Datenstrukturen und Klassendesign (https://www.delphipraxis.net/78-algorithmen-datenstrukturen-und-klassendesign/)
-   -   Verschlüsselungs-Trojaner, Hilfe benötigt (https://www.delphipraxis.net/168380-verschluesselungs-trojaner-hilfe-benoetigt.html)

Marcu 24. Mai 2012 08:48

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Ich weiß noch nicht ob die Entschlüsselung klappen wird weil ich die Herkunft des Schlüssels noch nicht kenne. Aber zumindest weiß ich schonmal wie die Routine ausschaut welche die Daten entschlüsselt:

Delphi-Quellcode:
procedure PermuteSomeBytes(Buffer: pbyte; BufLen: word);
var
  p: pchar;
  cnt: Integer;
  c1, c2: char;
begin
  cnt := BufLen shr 4;
  p := pchar(Buffer);
  while (cnt <> 0) do
  begin
    c1 := p^;
    p^ := (p + 8)^;
    (p + 8)^ := c1;

    c2 := (p + 4)^;
    (p + 4)^ := (p + 12)^;
    (p + 12)^ := c2;

    p := p + 16;

    dec(cnt);
  end;
end;

procedure DecryptFile(const SourceFileName, DestinationFileName,
  Password: string);

const
  BUFFERSIZE = $3000;
  // ist das wirklich eine Konstante oder wird PARTOFPASSWORD vom Virenloader
  // in den Virencode gepatcht ?
  PARTOFPASSWORD = '732jjdnbYYSUUW7kjksk***ndhhssh';

var
  hProv: HCRYPTPROV;
  hash: HCRYPTHASH;
  key: HCRYPTKEY;
  pw:string;
  Buffer: PByte;
  len: dWord;
  fsIn, fsOut: TFileStream;
begin
  pw:= Password + PartOfPassword;

  if CryptAcquireContext(@hProv, nil, nil, PROV_RSA_FULL, $F0000000) then
  begin
    CryptCreateHash(hProv, $8003, 0, 0, @hash);
    CryptHashData(hash, @pw[1], Length(pw), 0);
    CryptDeriveKey(hProv, $6801, hash, 1, @key);
    CryptDestroyHash(hash);

    fsIn := TFileStream.Create(SourceFileName, fmOpenRead or fmShareDenyWrite);
    fsOut := TFileStream.Create(DestinationFileName, fmCreate);
    try
      GetMem(Buffer, BUFFERSIZE);
      if not fsIn.Size = 0 then
      begin
        len := fsIn.Read(Buffer^, BUFFERSIZE);

        CryptDecrypt(key, 0, True, 0, Buffer, @len);
        // nach dem entschlüsseln wird in PermuteSomeBytes
        // das vertauschungen einiger Bytes rückgängig gemacht
        PermuteSomeBytes(Buffer, len);

        fsOut.Write(Buffer^, len);
      end;
      FreeMem(Buffer, BUFFERSIZE);
    finally
      fsIn.Free;
      fsOut.Free;
    end;
    CryptReleaseContext(hProv, 0);
  end;
end;
Ich will Niemanden vorreilig Hoffnung machen, aber wenn ich eine verschlüsselte Datei hätte würde ich die keinesfalls wegwerfen. Heute oder morgen nach der Arbeit setzte ich mich dran und werde rausfinden wo der Schlüssel herkommt. Danach gibt es eine konkrete Aussage von mir.

Viele Grüße
Marcus

markusg 24. Mai 2012 08:51

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
verschlüsselte dateien hab ich genug, falls du welche brauchst :d

Marcu 24. Mai 2012 09:20

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
oje... dieser blöde Virus hat wirklich großen Schaden angerichtet, nicht wahr? Ich habe gestern gelesen, dass da einer gleich zwei Usbfestplatten an seinem Computer für das Backup angeschloßen hatte. Und da hat er pflichtbewußt und täglich seine Daten drauf dupliztiert. Alles ist jetzt verschlüsselt und er überlegt seinen Laden dicht zu machen :-(

Morgen pder übermorgen werde ich dich eventuell um eine verschlüsselte Datei bitten, Markus. Am liebsten eine schöne lange Textdatei mit deutlich mehr als $3000 Bytes. Ich habe nämlich beschlossen, dass ich keine Minute mehr damit verschwenden werde die Dateiverschlüsselung des Virus zum laufen zu bekommen. Hätte ich das nur mal früher aufgeben, dann wäre ich jetzt vielleicht schon mit der Rückübersetzung fertig.

markusg 24. Mai 2012 09:31

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
läuft das neue sample bei dir auch nicht?
also ich hab in meinen "zu bearbeiten" listen rund 100 mail adressen und noch einige offene threads.
also wenn jemand von euch das schafft, habt ihr bestimmt tausende dankbare leute auf eurer seite :-)

Marcu 24. Mai 2012 09:42

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
ich habs nicht ausprobiert :oops:

Da war ich viel zu stur mit meinen Breakpoints. Die Rückübersetzung muss ich ja sowieso machen, weil ich ja eh ein Entschlüsselungsprogramm schreiben muss. Also mach ich es halt gleich, dann geht es ingesamt schneller.

Jetzt muß ich aber arbeiten. Die Leute hier wollen nämlich leider, dass ich arbeite für das Geld das die mir geben. Und meine Tochter besteht regelmäßig auf Nahrung! ;-)

markusg 24. Mai 2012 09:53

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
schrecklich, mitt all diesen verpflichtungen :-)

Marcu 24. Mai 2012 11:54

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Hallo Markus,

die Betroffenen sollen auf gar keinen Fall die Virusdatei sofort löschen! Der Virus schreibt eine Kopie von sich selbst letztendlich in das Verzeichnis "c:\windows\system32\" Genau diese Datei unbedingt sichern, bervor man die löscht.
Es könnte sein, dass für jeden Rechner ein zufälliger Schlüssel erfunden wird und dieser Schlüssel fest in die Virusdatei unter System32 gepatcht wird. Wenn die Virusdatei gelöscht wird dann wird auch der Schlüssel eventuell gelöscht und die Daten sind verloren!

Ich habe den Viruscode nicht bei mir und kann es leider jetzt nicht überprüfen. Aber ich wundere mich seit gestern Nacht darüber, dass ich einen Teil eines Schlüssels in der Virendatei gefunden habe (PartOfPassword in der Procedure decrypt oben). Das ist für mich völlig unerwartet. Es macht aus Sicht des Virenprogrammieres jedoch Sinn: Löscht man den Virus, dann zerstört man den einzigen und unwiderbringlichen Schlüssel zu seinen Daten.

Bitte warne die Betroffenen.

Michael Habbe 24. Mai 2012 12:23

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Hallo Marcu.

Ich habe ein paar Postings vorher eine Zip-Datei hochgeladen, wo ein und diesselbe Textdateien mehrfach unter den Trojaner gekommen sind -> http://www.delphipraxis.net/attachme...tigt-ascii.zip

Kannst Du Deine Routinen nicht so abändern, dass man einen Schlüssel reintut, die Datei verändert wird und man anschließend schaut, obs der Schlüssel gewesen ist? Das ist doch die übliche Vorgehensweise bei Brute-Force, oder?

Könnte man Hagen auf dieses Thema ansprechen? Er ist doch der Guru, was diese Thematik anbetrifft, oder? :idea:


Michael

Marcu 24. Mai 2012 12:43

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Hi Michael

Zitat:

Zitat von Michael Habbe (Beitrag 1167910)
Ich habe ein paar Postings vorher eine Zip-Datei hochgeladen, wo ein und diesselbe Textdateien mehrfach unter den Trojaner gekommen sind -> http://www.delphipraxis.net/attachme...tigt-ascii.zip

Super. Habe ich tatsächlich übersehen. Die werde ich hoffentlich bald brauchen. Hast du noch genau die Virusdatei dazu die diese Dateien verschlüsselt hat?
Die Haarfarbe für Ü40iger habe ich aber nicht übersehen. Wenn das was wird mit Entschlüsseln, dann will ich die als Belohnung :D

Zitat:

Kannst Du Deine Routinen nicht so abändern, dass man einen Schlüssel reintut, die Datei verändert wird und man anschließend schaut, obs der Schlüssel gewesen ist? Das ist doch die übliche Vorgehensweise bei Brute-Force, oder?
Ein Teil des Schlüssels befindet sich im Executable des Virus. Als Konstante abgelegt. Wo der andere Teil herkommt weiß ich noch nicht. Vielleicht der Dateiname. Oder irgendwie daraus abgeleitet. Ändert man den Dateinamen würde es dann auch nicht mehr mit dem entschlüssen klappen. Das sind aber alles Spekulationen.
Die Schlüssel sind leider viel zu lang um mit Brute Force etwas erreichen zu können.

Zitat:

Könnte man Hagen auf dieses Thema ansprechen? Er ist doch der Guru, was diese Thematik anbetrifft, oder? :idea:
Aber natürlich. Gute Idee. Umso mehr Leute debuggen umso besser!

markusg 24. Mai 2012 15:18

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
die malware legt 2 kopieen ihrer selbst im system an.
C:\Documents and Settings\Administrator\Application Data\Ycgzynuvwen\3523CC0414D7C3165928.exe
wobei der ordner einen zufälligen namen haben sollte.
ich denke aber das die datei zum entschlüsseln vom server kommen könnte.
die dateien die ins system kopiert werden haben die selbe md5 wie der dropper, zumindest war das bisher so.
aber natürlich hebe ich die gern auf, kein problem

markusg 24. Mai 2012 15:43

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
wobei mir einfällt.
in der sd.7z in dem ordner bins müsstest du alle dateien drinn haben, auch die gedroppten, und da sind ja auch verschlüsselte bilder dabei.

OldGrumpy 27. Mai 2012 15:57

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Vermutlich habt ihr das schon ausprobiert, aber ich hab nichts dazu gefunden und nicht genug Zeit, selber zu experimentieren.

Ist der fehlende Passwortteil vielleicht der "zufällige" Dateiname? Die Dateinamen die ich bisher erwähnt gesehen habe, schauen mir irgendwie nach Base64-Encoding aus. Wenn man jetzt den Dateinamen nimmt, dekodiert und mit dem restlichen Paswortteil kombiniert, kommt ja vielleicht was brauchbares dabei raus? Ist wohl einen Versuch wert. Evtl. findet man auch die aus dem Dateinamen dekodierten Bytes in dem großen File wieder, was der Virus auf der Platte ablegt. Ich hab da weiter vorne im Thread was von 5MB gelesen :)

pcnberlin 28. Mai 2012 03:17

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Liste der Anhänge anzeigen (Anzahl: 1)
@Marcu:

Falls es ein wenig hilft: Dieses Passwort scheint Maschinenunabhängig zu sein, ich habe es beim Debuggen auch gefunden:

Anhang 36965

CAG83 28. Mai 2012 03:20

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
ich lese hier mit Spannung mit (kenne einen betroffenen mit kleinunternehmen) und könnte seine recht aktuelle .pif datei zum experimentieren zurverfügung stellen.


wünsche weiterhin gutes debuggen.

Marcu 28. Mai 2012 20:06

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
@cag83
Bitte schaue in deine Postfach :-)

@pcnberlin
vielen Dank für die Bestätigung! Du hättest nicht vielleicht Zeit und Lust weiterzumachen ... Auf dem Trojaner Board sind alle herzlich willkommen - ganz besonders die Leute mit einem Debugger :D

Marcu 28. Mai 2012 20:24

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Hi OldGrumpy

schade, dass du keine Zeit hast :-(

Ich habe auch mein Glück versucht und verschiedene Möglichkeiten die mir einfielen einfach mal ausprobiert, aber leider kein Erfolg bisher. Mit Base64-Encoding habe ich keine Versuche unternommen, da ich bisher davon im Code nichts gesehen habe. Das "Raten" hab ich auch aufgegeben - da hatte ich kein Glück - jetzt mach ichs halt auf die harte Tour und übersetze Stück für Stück zurück. Irgendwann wird der Groschen dann schon fallen :-D

Zitat:

Zitat von OldGrumpy (Beitrag 1168301)
Ist der fehlende Passwortteil vielleicht der "zufällige" Dateiname? Die Dateinamen die ich bisher erwähnt gesehen habe, schauen mir irgendwie nach Base64-Encoding aus. Wenn man jetzt den Dateinamen nimmt, dekodiert und mit dem restlichen Paswortteil kombiniert, kommt ja vielleicht was brauchbares dabei raus? ..:)


Horst0815 28. Mai 2012 21:29

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Warum das Sample nicht überall läuft könnte daran liegen das ihr eine Sandbox benutzt was vom Trojaner überprüft wird

Marcu 28. Mai 2012 22:26

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Mittlerweile hat es dann doch geklappt. Ich war schlicht zu ungeduldig.

Der Virenprogrammierer verfolgt offenbar eine andere Strategie. Er denkt sich nicht lange und mühsam etwas Neues aus um die Analyse zu erschweren - etwas Geniales, was nicht jeder schon kennt und im Handumdrehen ausknipst, sondern er setzt sich einfach kurz mal hin und macht eine neue Version seines Trojaners. :-(

brain_ 28. Mai 2012 22:53

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Hallo,
anbei mal die Daten und Erkenntnisse, die ich auf einem betroffenen System so gesammelt habe:

Trojaner
Name: Unterlagen.pif
Datum: Mittwoch, 23. Mai 2012, 21:51:40
Grösse 48.128 Bytes
MD5: e7c55ac32bd694ec72200c31d6f4793e

"Sicherheitskopie" Trojaner
Name: AppData\Roaming\Gutfvyrtff\6E3A053CEABDDA2E2FFE.ex e
Datum: Mittwoch, 23. Mai 2012, 22:25:03
Grösse 48.128 Bytes
MD5: e7c55ac32bd694ec72200c31d6f4793e

Temp-Dateien:

Name: EABDDA2E48542D584E490078
Datum: Mittwoch, 23. Mai 2012, 22:25:18
Grösse: 1.048 Bytes
MD5: 02c4734330ebfaf54e494642a0188a35

Name: EABDDA2E48542D584E49.$02
Datum: Mittwoch, 23. Mai 2012, 22:29:59
Grösse: 2,55 MB (2.676.578 Bytes)
MD5: 2e1dbf0e11c23ef8301ac5c8617cada4

Ich gehe ganz stark davon aus, dass sich in der 2,5 MB Temp-Datei in verschlüsselter Form die neuen Dateinamen inklusive der zugehörigen Original-Dateinamen befinden. Das würde die unterschiedliche Datei-Grösse im Vergleich zu anderen betroffenen Systemen erklären. Evtl. ist dort auch der (Teil-)Schlüssel zur Verschlüsselung gespeichert. Da berichtet wurde, dass redundante Dateien nach dem Verschlüsseln unterschiedlich verschlüsselt sind und verschiedene Dateinamen haben wird wohl wahrscheinlich der Dateiname Bestandteil des Schlüssel sein oder halt ein entsprechender gespeicherter Wert.

Ich vermute die kleine Datei wird irgendwie einen heruntergeladenen oder generierten Schlüssel enthalten. Erstellungsdatum ist 15 Sekunden nach Aktivierung, bzw. Replikation des Trojaners im System. Die Dateigrösse scheint bei allen betroffenen Systemen gleich zu sein.

Vielleicht bringen diese Daten ja einen passenden Denkanstoss in die richtige Richtung.

Habe leider von Kryptographie wenig bis garkeine Ahnung und zum Debuggen fehlen mir die Möglichkeiten.

Den Decrypter-Algo habe ich mir schon in ein kleines Testprogramm implementiert. Falls es was zu testen gibt, helfe ich gerne, mit Delphi kann ich umgehen und ich habe knapp 2gb verseuchte kleine Dateien mit den zugehörigen Originalen.

EWeiss 28. Mai 2012 23:08

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Mal ne frage..
Wird die DP jetzt mit Trojanern unterwandert/verseucht?
Oder wie muss ich das sehen wenn hier soviele Infizierte Daten hochgeladen werden.

Auch wenn ich euren frust verstehen kann.
WARUM KANN MAN DAS NICHT PRIVAT MACHEN ?

Ich muss das wissen ... Denn dann bin ich weg hier.

gruss

implementation 28. Mai 2012 23:12

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:

Zitat von EWeiss (Beitrag 1168433)
Mal ne frage..
Wird die DP jetzt mit Trojanern unterwandert/verseucht?
Oder wie muss ich das sehen wenn hier soviele Infizierte Daten hochgeladen werden.

Es tauschen sich lediglich einige Trojanerexperten über ein neues Exemplar aus und hoffen auf Verstärkung. Wenn du ein Problem postest, möchtest du auch, dass dir geholfen wird.

Zitat:

Auch wenn ich euren frust verstehen kann.
WARUM KANN MAN DAS NICHT PRIVAT MACHEN ?
Capt'n Caps und seine Shift-Crew sind wieder da...
Wie sollen sie denn dann Verstärkung finden? Wo ist dein Problem? Und wieso schreist du uns mit Versalien und Rotschrift an?



just my 2 cents...
Im Debuggen bin ich schlecht, zudem habe ich grad kein Windows zur Hand, sonst würde ich mithelfen.
Viel Erfolg noch!

BUG 28. Mai 2012 23:15

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:

Zitat von EWeiss (Beitrag 1168433)
Wird die DP jetzt mit Trojanern unterwandert/verseucht?

Nö, weil:
  • Es beschränkt sich auf diesen Thread.
  • Zitat:

    Zitat von EWeiss (Beitrag 1168433)
    Oder wie muss ich das sehen wenn hier soviele Infizierte Daten hochgeladen werden.

    Werden es nicht. Es sind von einem Trojaner verschlüsselte Dateien hochgeladen.


Also passend zu heutigen Tag: DON'T PANIC :wink:

EWeiss 28. Mai 2012 23:17

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:

Capt'n Caps und seine Shift-Crew sind wieder da...
Wie sollen sie denn dann Verstärkung finden? Wo ist dein Problem?
Und wieso schreist du uns mit Versalien und Rotschrift an?
Weil es angebracht ist.
Man kann sich die Daten auch wie schon gefordert privat zuschicken.

Kann die Admins nicht verstehen das hier kein Riegel vorgeschoben wird.

gruss

implementation 28. Mai 2012 23:22

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:

Zitat von EWeiss (Beitrag 1168436)
Kann die Admins nicht verstehen das hier kein Riegel vorgeschoben wird.

Wieso soll man denn einen Riegel davorschieben, dass hier einige Freiwillige den Opfern eines Trojaners helfen wollen, ihre Daten wiederzubekommen?
Ist es dein Trojaner?
  • Ja? Dann stell dich in die Ecke und schäm dich.
  • Nein? Wo ist dann dein Problem? Inwiefern wirst du durch diesen Hilfeakt benachteiligt? Findest du, die Leute dürfen ihre Daten nicht wiederbekommen?

pcnberlin 28. Mai 2012 23:24

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
@alle

Ich habe mir bereits die ein oder andere Nacht um die Ohren geschlagen, um dem Geheimnis des Trojaners auf die Schliche zu kommen. Meine bisherigen Ergebnisse trage ich hier nun unter Verweis auf weitere Erkenntnisse von anderer Seite zusammen und stelle zur Diskussion, dass es sich bei der neuen Variante um ein public-private Key Verfahren handelt, dass auf absehbare Zeit nicht zu knacken sein wird:

Analyse des Windows-Verschluesselungstrojaner-neue-Version

Ich möchte in der Hoffnung mit meiner Vermutung unrecht zu haben mit diesem Post dazu aufrufen, mehr Informationen zu diesem Trojaner zu veröffentlichen, den bisher erreichten Wissensstand offener als bisher zu kommunizieren (Trojaner-board u.a.) und hoffe, dass sich so noch mehr Leute finden, die Willens und in der Lage sind, diesen Virus zu analysieren. Dieser Virus ist in meinen Augen einfach zu gefährlich, als dass man sich über seinen Wissensstand ausschweigen könnte: Wer also Kenntnisse, Ergänzungen und Anregungen hat, der möge diese bitte öffentlich machen.

EWeiss 28. Mai 2012 23:31

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:

Ich möchte in der Hoffnung mit meiner Vermutung unrecht zu haben mit diesem Post dazu aufrufen, mehr Informationen zu diesem Trojaner zu veröffentlichen, den bisher erreichten Wissensstand offener als bisher zu kommunizieren (Trojaner-board u.a.) und hoffe, dass sich so noch mehr Leute finden, die Willens und in der Lage sind, diesen Virus zu analysieren. Dieser Virus ist in meinen Augen einfach zu gefährlich, als dass man sich über seinen Wissensstand ausschweigen könnte: Wer also Kenntnisse, Ergänzungen und Anregungen hat, der möge diese bitte öffentlich machen.
Recht so aber bitte ohne Dateien hier hochzuladen.

Wer garantiert euch das in der verschlüsselten Datei nicht abermals ein Trojaner steckt?
Wäre nicht das erste mal.. Daher kann ich nur zur vorsicht raten wenn auch wie oben mit lauten Geschrei.
Das war's für mich zu dem Thema.

gruss

Luckie 28. Mai 2012 23:33

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
So lange hier kein Trojaner hochgeladen wird, sehe ich keinen Grund den Thread zu schließen.

Wobei warum Trojaner? Spioniert er den Rechner aus und verschickt Daten? Wäre die Bezeichnung Virus nicht passender?

implementation 28. Mai 2012 23:39

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Der Begriff "Trojaner" heißt ja nicht zwingend, dass er Daten ausspäht - das hat das griechische Pferd ja auch nicht gemacht.
Sondern es heißt nur, dass der Benutzer/Trojaner den Virus/Holzpferd freiwillig auf den Rechner/Stadt ließ, weil er meinte es wäre toll und nicht erahnte, wie böse es in Wirklichkeit ist.

Luckie 28. Mai 2012 23:40

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
OK, gewonnen. ;)

EWeiss 28. Mai 2012 23:46

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:

Zitat von implementation (Beitrag 1168441)
Der Begriff "Trojaner" heißt ja nicht zwingend, dass er Daten ausspäht - das hat das griechische Pferd ja auch nicht gemacht.
Sondern es heißt nur, dass der Benutzer/Trojaner den Virus/Holzpferd freiwillig auf den Rechner/Stadt ließ, weil er meinte es wäre toll und nicht erahnte, wie böse es in Wirklichkeit ist.

:thumb: Hätte ich nicht besser beschreiben können.

Aber tut mir leid das sagen zu müssen.
Haben die Leute immer noch nichts gelernt?
Wie kann man nur ansatzweise daran denken Dateien von einem Unbekannten Absender zu öffnen :gruebel:

Zum "glück" erstmal nur über Mail
Es wäre schlimmmer wenn er über Webseiten veröffentlicht würde.
Wäre auch kein großes problem siehe Stichwort Online - Games D3 und so weiter.

gruss

Medium 29. Mai 2012 00:13

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Emil, wenn du Bedenken vor den Dateien hast, dann lade sie einfach nicht herunter. Ich für meinen Teil freue mich sehr über diese fachlich spannende und tiefe Diskussion, nicht zuletzt weil es für mich eher Neuland ist, und total interessant wie die Damen und Herren hier da heran gehen. Und das auf eine gesittete und freundliche Art, die der DP gelegentlich auch mal gut tut ;)
Zudem wurde das meiste, so weit ich das verfolgt habe, ohnehin schon via Mail oder PN ausgetauscht, und die Teilnehmer hier wirken allesamt zu sehr mit der Materie vertraut, als dass man ihnen solche grobe Fahrlässigkeit vorferfen dürfen sollte. Und wie gesagt: Letztlich bist du selbst für deine Downloads verantwortlich, und dank des Kontextes hier sollte ja doch recht klar sein, dass "Unterlagen.pif" nicht für dich interessante Dokumente sein können.

EWeiss 29. Mai 2012 00:18

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
JA, ja hab mich mittlerweile wieder beruhigt.

Und laden würde ich solche Dateien sogar angekündigt definitiv nicht.
Destotrotz geschrieben ist geschrieben vielleicht hört ja jemand auf die Warnung wie auch immer.

gruss

Marcu 29. Mai 2012 06:18

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
@brain_

Zitat:

... Ich gehe ganz stark davon aus, dass sich in der 2,5 MB Temp-Datei in verschlüsselter Form die neuen Dateinamen inklusive der zugehörigen Original-Dateinamen befinden ...
deinen Nick trägst du nicht ohne Grund, gell? Mein Debugger schmerzte mir entsetzlich in den Augen bis ich endlich zu dieser Erkenntnis kam. Erstaunlich was man mit Blackbox Analyse alles rausfinden kann. :)

Marcu 29. Mai 2012 06:50

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
@Luckie

Hallo Luckie, :-)

Zitat:

Wobei warum Trojaner? Spioniert er den Rechner aus und verschickt Daten? Wäre die Bezeichnung Virus nicht passender?
Ja. Es handelt sich bei diesem Virus, um einen Trojaner mit einer Schnittstelle zu einem C&C Server und den Befehlen Wait, Load, Upgrade, Execute, usw. Dieser Trojaner hat zudem die Befehle Lock und Unlock welche die Verschlüsselung und Entschlüsselung der Daten auslöst.

Zitat:

So lange hier kein Trojaner hochgeladen wird, sehe ich keinen Grund den Thread zu schließen.
Die Leute die dieses Botnetz betreiben sind keine Kiddies die ein bisschen spielen wollen. Die Moderatoren von Trojaner-Board haben mich eindringlich davor gewarnt. Die verschicken mal eben ein paar 10000 E-Mails an eine E-Mailadresse oder stoßen einen Server vom Netz, wenn denen danach ist.
Was ich sagen will ist, dass es vernünftiger wäre diesen Thread zu schließen um Delphi-Praxis nicht zu gefährden. Ich wäre dir Luckie darum bestimmt nicht böse. Wenn du es signalisierst, dann werde ich sofort zum TB umziehen.

vg

Marcu 29. Mai 2012 07:18

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
@pcnberlin

WOW. Klasse!!!

Für Leute die neu dazukommen und noch helfen wollen - das hier ist die erste Adresse um sich einen Überblick zu verschaffen:

Analyse des Windows-Verschluesselungstrojaner-neue-Version


Beim 2 Aufruf (704 bytes Vermutung: public Key) handelt es sich hoffentlich nur um die Textdatei die man später auf seinem Desktop wiederfindet. Ich werde mich mich bis zum Schluss in Zweckoptimismus üben und davon ausgehen, dass die Entschlüsselung möglich ist. Mir ist klar, dass es leicht und naheliegend ist ein Verfahren zu wählen, welches nicht zu überwinden ist. Und wenn der Programmierer es jetzt noch nicht gemacht hat, dann wird er sicher in einer der nächsten Versionen diesen Schritt tun. Es ist nur wenig Programmierarbeit für ihn.

Bisher aber gehe ich noch von einem symmetrischen Verfahren aus und gebe die Hoffnung nicht auf.

vg nach Berlin :-) Meine Stadt ist zu klein um diese zu nennen. Beim den c&c-Server wird auffälliges Debuggen anscheinend per IP gebannt.

pcnberlin 29. Mai 2012 09:22

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:

Zitat von Marcu (Beitrag 1168459)
WOW. Klasse!!!

Danke, ich hoffe, wir werden noch weitere und vor allem positive Informationen finden ;-)

Zitat:

Zitat von Marcu (Beitrag 1168459)
Beim den c&c-Server wird auffälliges Debuggen anscheinend per IP gebannt.

Ist mir bisher noch nicht aufgefallen. Allerdings nutzen Sie ja verschiedene Domains & IPs und die meisten Domains sind nicht aufzulösen, dann dauerts immer ein paar Minuten. Mich nervt viel mehr diese dämliche Bildschirmsperre, die mir oft dazwischenfunkt, da scheint was nicht sauber programmiert zu sein, denn manchmal werde ich ausgesperrt, manchmal nicht.

Zitat:

Zitat von Marcu (Beitrag 1168459)
Beim 2 Aufruf (704 bytes Vermutung: public Key) handelt es sich hoffentlich nur um die Textdatei die man später auf seinem Desktop wiederfindet.

Das könnte sein, ich muss mir das noch mal genau anschaun. Interessant wäre dann in diesem Zusammenhang auch, wo und ob sich Referenzen zu den beim zweiten Abruf übermittelten Daten (data) finden. Wenn das nur die Textdatei wäre & $data ein maschinenabhängiger Schlüssel, bestünde ja eventuell Anlass zur Hoffnung.

Marcu 29. Mai 2012 11:20

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Liste der Anhänge anzeigen (Anzahl: 1)
Zitat:

Zitat von pcnberlin (Beitrag 1168472)
.. Mich nervt viel mehr diese dämliche Bildschirmsperre, die mir oft dazwischenfunkt ...

Du meinst das Paycash-Eingabefenster des Trojaners? Bitte lade dir angehängte Datei "SwitchBack.zip" runter. Wenn du SwitchBack.exe laufen lässt bevor du den Virus startest, dann schaltet Switchback wieder zurück zum normalen Desktop. Der Quellcode von Switchback befindet sich im angezeigten Memofenster. Der Virus läuft dann ganz normal weiter aber man kann wieder auf Tools zugreifen :-)

Zitat:

Wenn das nur die Textdatei wäre & $data ein maschinenabhängiger Schlüssel, bestünde ja eventuell Anlass zur Hoffnung.
Da spielt mindestens noch MD5 eine Rolle. Heute Abend gehts weiter :-)

Marcu 29. Mai 2012 11:36

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Liste der Anhänge anzeigen (Anzahl: 1)
@pcnberlin
Es ist natürlich bemerkenswert dämlich bei dieser Thematik Executables hochzuladen. Ich bin zwar einer von den "Guten" aber kann man ja nie sicher sein. Anbei findest du noch den Quellcode "SwitchBacksrc.zip" zum selbstkompilieren. :-)

Michael Habbe 29. Mai 2012 18:53

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Hallo Marcu.

Kannst Du mir mal den aktuellen Verschlüsseler zur Verfügung stellen? Ich möchte mal ein bischen mit dieser Datei experementieren, die im Temp-Ordner abgelegt wird.
Der SwitchBack funktioniert übrigens prima! :thumb:

Michael

markusg 29. Mai 2012 19:17

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
hi,
da ich jetzt erst mal aus dem urlaub zurück gekommen bin, muss ich erst mal meine mails durchgehen, beim ersten lesen hab ich viele neue mails im posteingang die neue samples enthalten.
wer also eines will, bitte mal kurz bescheid geben.

edit:
wer will, kann sich auch im trojaner board anmelden, wir bieten dort ein geschlossenes forum, wo man sich austauschen kann.
da diese leute teilweise mit zu lesen scheinen, was man daran sieht das die zb das tb nach der veröffendlichung des ersten entschlüsselungs programms lam gelegt haben, und wir ungern möchten das es anderen foren auch so geht, hatten wir uns dazu entschlossen.
bei interesse ebenfalls per pm melden


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:16 Uhr.
Seite 2 von 9     12 34     Letzte » 

Powered by vBulletin® Copyright ©2000 - 2022, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2021 by Daniel R. Wolf