Delphi-PRAXiS
Seite 3 von 9     123 45     Letzte » 

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Algorithmen, Datenstrukturen und Klassendesign (https://www.delphipraxis.net/78-algorithmen-datenstrukturen-und-klassendesign/)
-   -   Verschlüsselungs-Trojaner, Hilfe benötigt (https://www.delphipraxis.net/168380-verschluesselungs-trojaner-hilfe-benoetigt.html)

Michael Habbe 29. Mai 2012 20:33

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Ich habe dann jetzt mal eine Nachricht an meinen Lieblingssender 1Live (www.einslive.de) verfasst und auf die Delphi-Praxis bzw. das Trojaner-Board verwiesen, sie mögen mal eine Warnung an die Hörerschaft rausbringen.
Mal schauen.

Michael

pcnberlin 29. Mai 2012 21:09

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
@Marcu:

Komme leider erst jetzt dazu zu antworten. Vielen dank für das Plugin, werde es testen. Hatte vorher ein Tool von Xylitol, das wollte aber leider bei diesem Trojaner nicht funktionieren.

Übrigens habe ich noch was zu diesem ominösen "Schlüssel" herausgefunden. Der scheint hart codiert zu sein, denn er findet sich im Memory-Dump eines infizierten Rechners, der seit Infektion kein Internet hatte. D.h. dieser Schlüssel ist eindeutig fest. Ob ich heute noch zu viel mehr komme, weiß ich leider noch nicht (hab noch was richtiges zu arbeiten, z.B. muss ein Laptop von $Kunde vom Cryptovirus befreit werden *g*).

Ah, ja und noch das: Der Trojaner schreibt, wenn ich das richtig beobachtet habe nach "C:\Documents and Settings\all users\Application Data\Microsoft\Crypto\RSA".

@marcusg:

Könnten wir die Dinger nicht alle an einen Platz laden, wo alle interessierten Zugriff haben (Dropbox / Skydrive o.ä.), sortiert nach Datum und mit MD5?

Marcu 30. Mai 2012 00:03

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
@Michael
Hallo Michael

bestimmt hast du schon etwas aus dem unendlich großen Giftschrank von markusg bekommen nicht wahr? Es gibt verschiedene Versionen des Trojaners. Es ist glaube ich eine gute Idee wenn wir sicherstellen, dass wir nicht an verschiedenen Versionen arbeiten. Der Trojaner an dem ich arbeite meldet an seine C&C Server die Version "1.150.1" in der http Kommunikation. Deiner auch?

So ein Mist. Ich sehe gerade, dass pcnberlin Version 1.170.1 untersucht. Das ist genau das was ich vorher geschrieben habe - der Virenprogrammierer versucht gar nicht erst etwas originelles abzuliefern. Dem liegt nichts daran als geschickter Malwareprogrammierer dazustehen und von ein paar pubertierenden Jungs verehrt zu werden. Der erreicht seine Ziele einfach indem er in schneller Folge eine Version nach der anderen in die Welt setzt und weiß dabei genau dass da kaum einer die Zeit und die Mittel hat gegen anzukommen. Der macht einfach alles mit Quantität platt. :wall:


@pcnberlin

Zitat:

Übrigens habe ich noch was zu diesem ominösen "Schlüssel" herausgefunden. Der scheint hart codiert zu sein, denn er findet sich im Memory-Dump eines infizierten Rechners, der seit Infektion kein Internet hatte.
Meinst du den Teilschlüssel
Code:
732jjdnbYYSUUW7kjksk***ndhhssh
oder
Code:
QQasd123zxc
Oder habe ich etwas übersehen und es gibt noch mehr? Neee kann doch nicht sein ... noch ein paar Nächte und ich kann den Code fast auswendig. :-) Oder etwa doch?

Zitat:

Ah, ja und noch das: Der Trojaner schreibt, wenn ich das richtig beobachtet habe nach "C:\Documents and Settings\all users\Application Data\Microsoft\Crypto\RSA".
Das folgende ist eine 1:1 Übersetzung aus dem Trojanercode:
Delphi-Quellcode:
CryptAcquireContext(@hProv, nil, nil, PROV_RSA_FULL, CRYPT_VERIFYCONTEXT);
CryptCreateHash(hProv, CALG_MD5, 0, 0, @hash);
CryptHashData(hash, @pw[1], Length(pw), 0);
CryptDeriveKey(hProv, CALG_RC4, hash, 1, @key);
CryptDestroyHash(hash);
.
.
CryptDecrypt(key, 0, True, 0, Buffer, @len);
.
.
Ich habe die hexadezimalen Werte im Code von #41 ersetzt. Genau diese Funktionen mit genau dieser Parametrierung stehen so im Trojanercode. Dabei handelt es sich nicht um ein Public/Privatekey Verfahren. Es gibt nur ein einziges Passwort und das verschlüsselt und entschlüsselt die Daten.

Könntest du bitte nochmal nachprüfen, ob ich da recht habe? Oder findet sich ein Freiwilliger? Pcnberlin hat gerade Kundschaft und wenig Zeit.


Vergiss nicht die Seriennummer der Festplatte deines Kunden aufzuschreiben und zum Image der Festplatte zu legen, pcnberlin. Für die Entschlüsselung der Daten wird diese Nummer sehr wahrscheinlich gebraucht.


@markusg
Zitat:

... das die zb das tb nach der veröffendlichung des ersten entschlüsselungs programms lahm gelegt haben ...
Zumindest kann keiner sagen, dass nicht ausreichend gewarnt wurde :D

Ich bin immer noch hauptsächlich hier, weil ich ein kurzfristiges Ziel verfolge - nämlich die Dateien zu entschlüsseln. Ich programmiere zwar nicht mehr in Delphi aber lese hier trotzdem seit Jahren immer wieder mit und kenne daher viele der Programmierer bei DP und ihre Fähigkeiten. Falls ich mein Ziel erreiche, dann wird es hier schneller gelingen als auf dem TB. Solange kein Moderator den Kopf schüttelt versuch ich es hier weiter. Ich hoffe du verstehst es nicht falsch, Markus. Das TB-Team ist so dermaßen cool - so was kenne ich sonst nicht. Wie dort mit Stil und Know-How den Leuten geholfen wird ist für mich einzigartig. Aber hier finde ich Leute die ein tiefes Verständnis von der Funktionsweise von Programmen haben und einige haben sogar einen Debugger. Und das bringt mich schneller ans Ziel.

vg @all

CAG83 30. Mai 2012 00:16

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Hallo Marcu.

Nur eine kurze Zwischenfrage, die Version 1.150.1 des Virus, an der du arbeitest,
diese Version nimmt auch eine Umbennenung der verschlüsselten Dateien vor, korrekt?

Marcu 30. Mai 2012 00:40

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Ja genau. und zwar nach folgendem Muster:

z.B:
shsdfgjkLKJasdHsGP

also keine Dateierweiterung mehr. Nur Groß und Kleinbuchstaben.

pcnberlin 30. Mai 2012 00:43

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
@Marcu
Ja, ich meinte den Teilschlüssel mit ssh am Ende ;-). Den findet man im entsprechenden Dump, ist also statisch.

Zitat:

Zitat von Marcu (Beitrag 1168649)
Delphi-Quellcode:
CryptAcquireContext(@hProv, nil, nil, PROV_RSA_FULL, CRYPT_VERIFYCONTEXT);
CryptCreateHash(hProv, CALG_MD5, 0, 0, @hash);
CryptHashData(hash, @pw[1], Length(pw), 0);
CryptDeriveKey(hProv, CALG_RC4, hash, 1, @key);
CryptDestroyHash(hash);
.
.
CryptDecrypt(key, 0, True, 0, Buffer, @len);
.
.
Könntest du bitte nochmal nachprüfen, ob ich da recht habe?

Ich werde heute Nacht nicht mehr dazu kommen, den Debugger anzuwerfen und Deine Aussagen nochmal zu prüfen, das kostet leider ja auch einiges an Zeit und die Malware-Domains sind auch gerade alle down. Aber ich glaube mich zu erinnern, dass die Reihenfolge der Funktionsaufrufe sowie die Funktionen selbst passen. Aber um das jetzt noch mal genauer anzuschauen fehlt mir gerade die Zeit.

Zitat:

Zitat von Marcu (Beitrag 1168649)
Vergiss nicht die Seriennummer der Festplatte deines Kunden aufzuschreiben und zum Image der Festplatte zu legen, pcnberlin. Für die Entschlüsselung der Daten wird diese Nummer sehr wahrscheinlich gebraucht.

War zum Glück Windows 7 & die wichtigen Daten alle auf C, so dass alles so weit gerettet werden konnte ;-)

Ich hoffe, morgen zu etwas mehr zu kommen,

lg

CAG83 30. Mai 2012 00:46

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Ok, dann sollten die Jungs im Trojaner-Board mal die Infos updaten:

http://www.trojaner-board.de/115183-...te-umlauf.html

ich werd mal dort bescheid geben, die Versionsinfos up zu daten.

Michael Habbe 30. Mai 2012 00:55

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Hallo Marcu.

Ich habe eines der Teile aus dem Giftschrank mit der Größe von ca. 64 kB probiert. War zumindest nicht direkt tödlich für meine VM, dank SwitchBack. :wink: Hat aber nix mehr verschlüsselt.

Ich glaube, wir kommen dem Malwarefuzzie nur bei, indem der ganzen Welt (*mal ein bischen hochhinaus woll*) bewusst gemacht wird, nicht mehr diese Anhänge anzuklicken. Ansonsten ist er immer einen Schritt vorraus.
Und da seh ich schwarz, wenn dieses Ding erstmal als Drive-By-Download** kommen sollte.


Michael


** da durfte ich mal bei einem Kundenrechner Live-Zeuge bei sein, das geht ratz-fatz ohne das man was ausrichten kann

markusg 30. Mai 2012 14:59

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
@Marcu
wie gesagt, es geht mir nur darum, dass wenn diese leute das mitbekommen, sie schnell ihren code anpassen können und damit die arbeit dann früher zu nichte gemacht wird, als wenn ein tool rausgebracht wird und dann erst die malware angepasst werden kann.
und wie gesagt um mögliche probleme für dieses forum.
ich wollte damit weder ein forum schlechter, noch eines besser machen, ich wollte nur eine alternative anbieten, wo man sich ungestört beraten kann, da wir das intern machen, wo keiner mit lesen kann.
wegen der versionsnummern, ich glaube die sind im laufe der entwicklung eher willkürlich geworden.

CAG83 31. Mai 2012 21:47

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Hat schon jemand Überlegungen angestellt ich die Richtung, dass ev der neue Dateiname der schlüssel einer jeden datei sein könnte? Ich glaube fast nicht, dass das alles random ist.
Zumal kommen lediglich gewisse Buchstaben, und nicht alle vor, auch sind keine zahlen enthalten.

Marcu 31. Mai 2012 23:16

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Gute Idee :-) Hab ich sogar mal einfach blind ausprobiert. So ging es leider aber nicht. Die Information die man zum Entschlüsseln jeder Datei braucht steckt in einer der Dateien im temp-Verzeichnis. Dort ist jeweils der alte Orginal-Dateiname, der völlig zufällig neue Dateiname und ein Schlüssel abgelegt.



Für die Leute die verständlicherweise dringend auf eine Lösung warten und Anfragen schicken:

Wenn hier mal Stille ist, bedeutet es nicht dass keiner mehr daran arbeitet oder gar das Interesse verloren ist!!!

Michael Habbe 1. Jun 2012 00:21

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Liste der Anhänge anzeigen (Anzahl: 1)
Ich bin mir nicht sicher, was es zu bedeuten hat.

Ich habe auf dem Kundenrechner, nachdem die Daten gesichert wurden, die "rechnung.pif" erneut ausgeführt gehabt (bereits vor 2 Wochen).

Nun ist mir aufgefallen, dass die eine Datei die im Temp angelegt wurde, mehrfach vorhanden ist. Einmal ohne Ext., das 2. Mal mit $ als Ext.

Der Inhalt der 1048 Byte grossen Datei ist bis auf zwei Unterschiede gleich. --> Hab sie mal hochgeladen.

Die größere Datei ist nur einmal vorhanden, dies könnte darauf beruhen, dass bereits alle vom Trojaner verschlüsselbaren Dateien bereits verschlüsselt waren. Somit gab es keine weiteren Dateien.


Michael

pcnberlin 1. Jun 2012 00:32

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
@Michael

Ich bin mir noch im Unklaren, was es mit den %temp% Dateien genau auf sich hat.

@Marcu & all

Habe mir die Sache jetzt noch mal angeschaut und vermute, dass Du recht hast. Ich konnte in meinen Memdumps keine Anzeichen für ein public-key Verfahren finden, wohl aber Hinweise auf die Kombination des Statischen keys (....ssh) mit einem bzw. vielen dynamischen. Ich habe dazu in meinem Blogeintrag noch einige Bilder hochgeladen. Spannend ist vor allem, dass im Memdump scheinbar Speicherbereiche zu finden sind, die eventuell eine Zuordnung von altem Dateinamen, neuem Dateinamen und dynamischen Schlüssel erkennen lassen.
Wo dise dynamischen Schlüssel genau generiert werden, konnte ich noch nicht verifizieren.

Marcu 1. Jun 2012 17:25

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Ich habe jetzt alle Stückchen - bis auf eines - zusammen. Das war schwierig, weil der Virenprogrammierer für das Verschlüsseln der Benutzerdateien und für die Internetkommunikation und für die Verschlüsselung der Temp-Files jeweils verschiedene Kombinationen von MD5-Checksummen und RC4 Verschlüsselungen benutzt hat. Ich habe ständig den Faden dabei verloren was da wann für was benutzt wird, aber jetzt habe ich es sortiert.

Es fehlt ein Stück :wall: ... Ich schaue mir heute Nacht nochmal alles an um ganz sicher zu gehen. Aber ich hatte eben ein ganz klaren Blick darauf und es gibt da wenig Zweifel mehr. Am Wochenende schreibe ich auf wie es funktioniert - aber das kann ich auch ebenso sein lassen, weil es keine Daten zurückbringen wird.
Das ist echt traurig - ich weiß sogar wie die Katalogdatei aussieht: Alterdateiname <crlf><crlf>Neuerdateiname<crlf>FehlendesPasswor t (unter anderem genau das steckt in den TempFiles, Michael) ... und doch fehlt ein Stück um da ran zu kommen.

Es ist schwer mich an meine Frustrationsgrenze zu bringen aber die haben es gerade geschafft.
Marcus :(

pcnberlin 1. Jun 2012 23:59

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:

Zitat von Marcu (Beitrag 1169113)
Ich habe jetzt alle Stückchen - bis auf eines - zusammen. Das war schwierig, weil der Virenprogrammierer für das Verschlüsseln der Benutzerdateien und für die Internetkommunikation und für die Verschlüsselung der Temp-Files jeweils verschiedene Kombinationen von MD5-Checksummen und RC4 Verschlüsselungen benutzt hat. Ich habe ständig den Faden dabei verloren was da wann für was benutzt wird, aber jetzt habe ich es sortiert.

Es fehlt ein Stück :wall: ... Ich schaue mir heute Nacht nochmal alles an um ganz sicher zu gehen. Aber ich hatte eben ein ganz klaren Blick darauf und es gibt da wenig Zweifel mehr. Am Wochenende schreibe ich auf wie es funktioniert - aber das kann ich auch ebenso sein lassen, weil es keine Daten zurückbringen wird.

Ich finde es echt super, wie Du Dich mit dem Trojaner auseinandergesetzt hast & ich weiß, dass das verdammt viel Arbeit ist und von einzelnen prinzipiell fast nicht zu leisten ist, jedenfalls nicht wenn man noch ein wenig RL nebenbei hat ;-). Deshalb hierfür ein großes Danke. Da wir ja an unterschiedlichen Stellen gearbeitet haben, wäre ich, wenn Du das wirklich tun möchtest an einem Bericht, "wie es funktioniert" durchaus interessiert, auch wenn es keine Daten zurückbringt.

Zitat:

Zitat von Marcu (Beitrag 1169113)
Das ist echt traurig - ich weiß sogar wie die Katalogdatei aussieht: Alterdateiname <crlf><crlf>Neuerdateiname<crlf>FehlendesPasswor t (unter anderem genau das steckt in den TempFiles, Michael) ... und doch fehlt ein Stück um da ran zu kommen.

Mit Katalogdatei meinst Du die im %temp%-Verzeichnis mit unterschiedlicher Dateigröße (je nach zu verschlüsselndem Datenvolumen)? Hattest Du den Screenshot von meinem Memory-Dump gesehen? Das sieht doch so aus, wie das, was Du beschreibst oder? In diesem Memdump sind aber meiner Ansicht nach genau die Passwörter drin, mit denen die Dateien verschlüsselt werden. Was ich zeitlich noch nicht geschafft habe, ist rauszubekommen, wie diese Passwörter generiert werden. Es scheint zudem ja für jede Datei einen neuen Schlüssel zu geben.


Zitat:

Zitat von Marcu (Beitrag 1169113)
Es ist schwer mich an meine Frustrationsgrenze zu bringen aber die haben es gerade geschafft.
Marcus :(

Was ich mich bei dem Teil ein wenig frage, warum es sich die Programmierer so verdammt schwer gemacht haben und nicht einfach asymmetrisch verschlüsselt wird und gut ist. Für jede Datei einen neuen Schlüssel ist so was von :evil:

lg

CAG83 2. Jun 2012 00:12

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Ich persönlich habe viele wichtige Daten verloren, und würde gar wochenlanges rechnen bei 100% CPU auslastung in Kauf nehmen, um die dateien wieder zu decrypten, aber wenn ein teil online berechnet wird, ist selbst dass nicht machbar, oder?

Ich danke jedenfalls bis hier allen die hier so viel Zeit hineinstecken und steckten und hoffe nach wie vor auf eine Lösung, auch wenn sie erst in einem halben Jahr wiederherstellbar wären;-)

Danke an alle.

pcnberlin 2. Jun 2012 01:28

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
@Marcu & all

Meine Nachfrage nach dem Memory-Dump hat sich gerade erledigt, da ich den Blogeintrag bei McAfee grad gelesen habe: hxxp://blogs.mcafee.com/mcafee-labs/ransomware-holds-up-victims . Dann wars das wohl: Der Basis-Schlüssel, der zur Entschlüsselung gebraucht wird, wird bei Infektion an den C&C-Server gesendet und ist somit nicht mehr auf dem Infizierten Rechner. Diesen Schlüssel bekommt man dann nur noch gegen Zahlung ausgehändigt, Game over :pale:

Marcu 2. Jun 2012 13:10

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
hmmm ... es sieht so aus als ob das Passwort bevor es durch eine selbstgebraute Verschlüsselungsfunktion läuft und an den Server geschickt wird, nochmal vorher im Tmp-Verzeichnis gespeichert wird. Nur...warum sollte jemand einen Zweitschlüssel neben seinen sicheren Safe legen und den anderen Schlüssel im Internet verstecken? Das wäre zu schön um noch daran zu glauben. Aber der Sache gehe ich noch auf den Grund.

ThomasN 2. Jun 2012 16:31

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Hallo pcnberlin,

Zitat:

Zitat von pcnberlin (Beitrag 1169162)

hxxp://blogs.mcafee.com/mcafee-labs/ransomware-holds-up-victims . Dann wars das wohl: Der Basis-Schlüssel, der zur Entschlüsselung gebraucht wird, wird bei Infektion an den C&C-Server gesendet und ist somit nicht mehr auf dem Infizierten Rechner. Diesen Schlüssel bekommt man dann nur noch gegen Zahlung ausgehändigt, Game over :pale:

irgendwie klingt "... the malware renames the file by prepending locked-filename.1234 (locked-<original name>.<four random characters>" aber nach der Variante, deren verschlüsselte Daten man mit den Tools aus dem TB wieder entschlüsseln kann...

RMC 2. Jun 2012 18:41

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Hallo CAG83, Marcu, PCBerlin, etc..

ich glaube nicht, daß bei Zahlung der 100 EU die Daten wieder entschlüsselt werden - aber es käme evtl. auf einen Versuch an, sich die 100 EU zu teilen, den Schlüssel dann zu erhalten für diesen einen Entschlüsselungsfall und dann diesen für Testzwecke zum Programmieren mit den Daten bzw. dem PC den es betraf eine Entschlüsselung vielleicht für alle entwickeln zu könnn?

....bin selbst betroffen von der neuen Verschlüsselung und habe auch schon Strafanzeige gegen Unbekannt erstattet!

Gruss

RMC

EWeiss 2. Jun 2012 18:50

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:

aber es käme evtl. auf einen Versuch an, sich die 100 EU zu teilen
Eigentlich nicht mal der Text wert den ich hier schreibe.
Wie kann man nur ansatzweise an soetwas denken und glauben damit erfolg zu haben.

Es wird ganz deutlich gewarnt niemals Dateien öffnen die man nicht selbst angefordert hat. (Oder den Absender kennt)
Niemals auch nur einen cent bezahlen.

gruss

markusg 2. Jun 2012 20:04

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
ich rate jedem vom bezahlen ab.
1. kenne ich leute dies versucht haben, da ging dann trotzdem nichts.
2. weist du auch hinterher nicht, ob die dir vllt noch was nettes hinterlassen was dann deine bankdaten zb ausspäht.
3. sinds dann jetzt vllt "nur" 100 €. beim nächsten mal kommts dann per drive by download und kostet 200 € etc.
nüchtern betrachtet ist das nun mal ein geschäft. setzt sich dieses modell durch, durch genügend zahlende nutzer, dann wird sich das halten und vermehren.
wichtiger ists erst mal, dass ihr alle, die ihr betroffen seit, ne anzeige macht, je wichtiger die polizei diese arbeit nimmt, desto höhere stellen arbeiten daran und desto mehr kompetenzen haben diese natürlich international.
was dann dabei helfen könnte die server die verwendet werden zu beschlagnamen etc.

pcnberlin 2. Jun 2012 20:15

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
@Marcu

Du hast aber auch ein bischen einen Dickschädel, oder? Das find ich prima, ich nämlich auch ;-) Ich hoffe, Du findest noch etwas raus, war heute leider wieder sehr eingespannt & würde aktuell auch gern weiter debuggen. In welche Datei schreibt er denn, diese 1kb im temp? Ich bin gespannt auf Neuigkeiten, auch wenn Sie negativ sein sollten. Es ist halt auch sehr interessant, zu verstehen wie die Dinger funktionieren. Good Luck!

@ThomasN
Ja, ich hatte auch erst gedacht, dass es sich um den alten handelt, aber später wird der Artikel eindeutiger und was da beschrieben wird, trifft auf unseren Kandidaten zu.

@RMC
Das Problem an diesem Vorschlag ist nicht unbedingt die Zahlung der 100€. Wenn sich damit wirklich etwas ableiten ließe, ok. Dem wird aber sehr sicher nicht so sein, denn bisher sieht es so aus, dass die Malware das Modell einer symmetrischen Verschlüsselung so zusagen in ein semi-asymmetrisches Modell überführt. Auf dem PC wird demnach ein Schlüssel generiert, der aus mehreren Teilen besteht. Mit diesem Schlüssel bzw. Ableitungen hiervon wird dann verschlüsselt und ein Teil des Keys an die C&C-Server übertragen, aber vermutlich nicht auf dem PC gespeichert. Prinzipiell könnten wir also auch herausbekommen, wie der Schlüssel selbst generiert wird und können sogar die Dateien auf einem Debugging-Rechner wieder entschlüsseln. Das Problem sind aber die Rechner, auf denen die Verschlüsselung schon durch ist, denn hier fehlt dann der Teilschlüssel, der zudem Zufallswerte enthalten kann, die sich nicht "zurückrechnen" lassen. Wenn der Trojaner also nicht den ganzen Schlüssel auf dem PC hinterlassen hat, war es das.

@markusg
Wie sah denn die Netzwerk-Kommunikation bei der alten (locked-...) Variante aus, hat der Trojaner da ähnlich agiert?

@all
Jemand aus der Schweiz anwesend? Weil ein whois horad-fo.com u.a. hier hin führt: 84.72.41.161.

Aphton 3. Jun 2012 03:30

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Kann mir bitte einer (min) 5 verschlüsselte (kleine) Dateien zukommen lassen?
Sofern möglich, wäre es auch hilfreich, die unverschlüsselten Dateien dazuzupacken!

Ich habe eine Idee bzgl. der Verschlüsselung, werde sie aber nur dann äußern, wenn ich sie bestätigen kann...
Bitte trotzdem keine Hoffnungen machen; sry

RMC 3. Jun 2012 10:41

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Liste der Anhänge anzeigen (Anzahl: 2)
Hallo Aphton,

ich habe beim Recherchieren eine Originialdatei und die dazugehörige verschlüsselte Datei noch gefunden, welche ich Dir hier zukommen lassen kann. Leider ist es eine persönliche Datei, die ich hier nicht posten möchte - kannst Du mir eine E-Mailadresse geben? Die verschlüsselte Datei (qtXqGdaqguLQdeGTAtfX) kann ich hier gar nicht 'hochladen', sie wird nicht 'erkannt', könnte sie höchsten zippen.

Es ist vom Fall her genau der neue Verschlüsselungstyp den ihr sucht. Ich habe ihn mir am 31.05.12 'eingefangen'. AVIRA hatte nichts gemeldet - erst am 01.06. wurde etwas erkannt - poste ich hier!

Der Trojaner hat alle Dateien 'hinter' dem Userverzeichnis meines Firmennamens (Excel, Word, jpg, etc. ...) verkryptet.
Unter http://www.kaspersky.com/downloads/free-antivirus-tools gibt es zwei neue Randsom 'Entkrypter' die leider für unseren Fall (noch) nicht funktionieren.

Malware Virus hatte bei mir den TROJAN.AGENT.RNGGen und TROJAN.FAKEAlert gemeldet. Ferner noch Hijack.Zones - poste Dir das Ding mal zu.

Ich seh' mal zu, daß ich noch ein paar Orginaldateien zu den verschlüsselten Dateien finde auf meinem Backupsystem - die schicke ich Dir ebenfalls per E-Mail zu.

Interessant ist, daß die verschlüsselte Datei die selbe Größe hat, selbiges Datum, jedoch eine Stunde 'älter' ist.
Übrigends - ich hatte die Systemwiderherstellung in Windows aktiviert. Es gab jedoch einen Wiederherstellungspunkt mehr auf meinem System!!!!!

Hab' mich selbst schon etwas an die Sache herangetastet und mal mit einem Debugger die Sache angesehen - allerdings gehen meine Programmiererfahrung auf die späten 80er zurück :-) - wenn Jemand hier erfolgreich ist, und ich meine geschäftlichen Daten wieder entkrypten kann, lass ich 'was springen an den Entwickler - das ist schon 'mal sicher!!

Grüße

RMC

RMC 3. Jun 2012 10:52

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:

Zitat von EWeiss (Beitrag 1169214)
Zitat:

aber es käme evtl. auf einen Versuch an, sich die 100 EU zu teilen
Eigentlich nicht mal der Text wert den ich hier schreibe.
Wie kann man nur ansatzweise an soetwas denken und glauben damit erfolg zu haben.

Es wird ganz deutlich gewarnt niemals Dateien öffnen die man nicht selbst angefordert hat. (Oder den Absender kennt)
Niemals auch nur einen cent bezahlen.

gruss

Liess 'mal meine Beiträge richtig, bevor Du so antwortest! (...auch nicht 'mal ansatzweise meine kostbare Zeit Wert, Dir überhaupt zu antworten!)

Danke

RMC

RMC 3. Jun 2012 11:47

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:

Zitat von Aphton (Beitrag 1169229)
Kann mir bitte einer (min) 5 verschlüsselte (kleine) Dateien zukommen lassen?
Sofern möglich, wäre es auch hilfreich, die unverschlüsselten Dateien dazuzupacken!

Ich habe eine Idee bzgl. der Verschlüsselung, werde sie aber nur dann äußern, wenn ich sie bestätigen kann...
Bitte trotzdem keine Hoffnungen machen; sry

Hallo Aphton,

also - habe noch sehr viele Orginaldateien auf meiner Backupplatte passend zu den verschlüsselten Dateien gefunden.

'Gerichtet' habe ich Dir jetzt eine ZIP mit div. WORD,EXCEL,JPG,PDF,DB, etc. Dateien.
Evtl. 'baut' sich die Verschlüsselung auf unterschiedliche Dateiarten unterschiedlich aus - deshalb mehrer Dateiformate.

Wie gesagt - es sind persönliche, geschäftliche Daten. Ich mache Dir eine entsprechend persönliche Nachricht hier im Forum mit meiner E-Mailadresse, damit Du mir Deine schicken kannst. Das Ergebnis posten wir dann anschließend wieder hier öffentlich - ist das okay?

Grüße

RMC

.....

Ach noch 'was - bei der Durchsicht von Orginal- zu Verschlüsselungsdateien ist mir aufgefallen, daß dies mit der unterschiedlichen Uhrzeit (eine Stunde älter bei der verschlüsselten Datei) doch nicht stimmt! Die Dateiproperties sind bei mir alle identisch!

Die Idee, daß bei unterschiedlichen Dateiformaten unterschiedlich verkryptet wird kam mir beim betrachten mit meinem Debugger - ich kann mich aber auch täuschen....

Grüße

RMC

EWeiss 3. Jun 2012 13:17

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:

Liess 'mal meine Beiträge richtig, bevor Du so antwortest! (...auch nicht 'mal ansatzweise meine kostbare Zeit Wert, Dir überhaupt zu antworten!)
Führe doch einfach keine Dateien aus dann kannst dir sparen überhaupt was zu posten.
Dummheit schützt for Strafe nicht.

Ohh jetzt bekomme ich wieder was auf den Deckel.

gruss

Daniel 3. Jun 2012 13:40

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:

Zitat von EWeiss (Beitrag 1169272)
Führe doch einfach keine Dateien aus dann kannst dir sparen überhaupt was zu posten.

Du bist auf dem falschen Pfad - leider mit sehr agressivem Tonfall. Es ging bei den 100 EUR nicht darum, doch irgendwas "Lustiges" zu erhalten, sondern im Rahmen einer kontrollierten Maßnahme den Schlüssel zu dem eingangs genannten Problem zu erhalten.

Aus der Diskussion gewinne ich den Eindruck, dass die hier anwesenden haargenau wissen, was sie tun und womit sie es zutun haben. Es geht gewiss nicht um das leichtfertige Ausführen "irgendwelcher" Dateien.

blawen 3. Jun 2012 15:24

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:

Zitat von pcnberlin (Beitrag 1169221)
@all
Jemand aus der Schweiz anwesend? Weil ein whois horad-fo.com u.a. hier hin führt: 84.72.41.161.

Ja.
Die IP 84.72.41.161. gehört gemäss whois zum Provider UPC Cablecom und bei horad-fo.com meldet whois einen eintrag in China.

EWeiss 3. Jun 2012 17:42

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:

sondern im Rahmen einer kontrollierten Maßnahme den Schlüssel zu dem eingangs genannten Problem zu erhalten
Ach nein und das habe ich nicht begriffen?
Warum denkst du habe ich so darauf geanwortet.
Wenn für diese Datei über so viele verschiedene Kanäle hinweg ein Schlüssel generiert wird
ist es Ironie zu glauben diesen "Auf normalem wege" zwecks Schlüssel wieder entschlüsseln können.

Zitat:

Du bist auf dem falschen Pfad - leider mit sehr agressivem Tonfall.
Was hat das mit agressiven Tonfall zu tun..

Anscheinend wissen sie es nicht oder hast du schon mal ne 128/256Bit verschlüsselte Datei entschlüsselt?
Es ist Dumm zu glauben das der Schlüssel irgendwo zwischengelagert wird das ist einfach nur ein Witz.

Ich kann mich noch an einen Versuch vor Jahren erinnern bei dem eine Uni im Auftrag gegeben hat
eine 128Bit Datei zu entschlüsseln gegen ein Entgeld von 10000.-DM.

Dazu hat man sich zu einem Kollektiv zusammen getan ein paar 1000 Rechner im Verbund um den Schlüssel über Brutforce zu knacken.
Gedauert ca. 1 Jahr.

Wenn ich schon höre das jemand dafür Geld geben will unter welchen Gründen auch immer wiederhole ich mich gerne nochmal.
Die Leute welche den Angriff ausgesetzt sind wurden nicht einfach so Infiziert
sondern haben aus Neugierde eine Datei geöffnet die Sie nicht hätten öffnen dürfen.
Anzeige gegen Unbekannt mit welcher Begründung? Wenn man das Problem selbst verursacht hat.
Es wird niemand gezwungen diese Datei zu öffnen.
Wenn dieser mal über Webseiten Scripts/Bilder oder was auch immer vertrieben wird kann ich nur noch raten
Internetverbindung-kappen das wäre die einzige lösung.

Wie man das nun nennt .. Nun sucht es euch selbst aus wenn euch meine art der Antwort
zu agressiv oder nicht gefällt.

PS:
Manchmal gehört ein aggressiver Tonfall dazu sonst lernen Sie es nimmer mehr.
Geh mal in den Bundestag...

gruss

Daniel 3. Jun 2012 18:04

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:

Zitat von EWeiss (Beitrag 1169299)
Manchmal gehört ein aggressiver Tonfall dazu sonst lernen Sie es nimmer mehr.

Und auch wenn Du selbst die Erfolgsaussichten als gering einstufst, so gehst Du doch zu weit, indem Du die Ideen anderer als "dumm" bezeichnest. Wenn wir hier alle nach eigenem Ermessen den Tonfall verschärfen, nimmt das kein gutes Ende. Bedenke bitte, dass Dich niemand zur Beteiligung an diesem Thema zwingt.

CAG83 3. Jun 2012 18:07

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
was sollen die unangemessenen Kommentare von EWeiss?
kann den bitte ine Mod in die schanken weisen?
Du musst hier ja nichts dazu schreiben wenn du nicht willst.

EWeiss 3. Jun 2012 18:12

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:

Bedenke bitte, dass Dich niemand zur Beteiligung an diesem Thema zwingt.
Dem stimme ich zu

Aber mal ehrlich..
Nachdem sich mein Kind am Ofen verbrannt hat obwohl immer wieder gepredigt wurde "Heiss" darfst du nicht anfassen
soll ich dann danebenstehen und sagen oh... selber schuld aus Fehlern lernt man.

Zitat:

Du musst hier ja nichts dazu schreiben wenn du nicht willst.
Schon mal was von Meinungsfreiheit gehört?
Ob das unangemessen ist ? Denke mal nicht.
Hier wurde um Hilfe gebeten. Und ich helfe damit den Leuten klar zu machen das man solche Dateien einfach nicht öffnet.

gruss

DeddyH 3. Jun 2012 18:19

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Dieses gegenseitige Bashing ist doch kontraproduktiv, kommt bitte alle wieder runter :roll:

blawen 3. Jun 2012 18:26

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:

Zitat von EWeiss (Beitrag 1169299)
Die Leute welche den Angriff ausgesetzt sind wurden nicht einfach so Infiziert
sondern haben aus Neugierde eine Datei geöffnet die Sie nicht hätten öffnen dürfen.
Anzeige gegen Unbekannt mit welcher Begründung? Wenn man das Problem selbst verursacht hat.
Es wird niemand gezwungen diese Datei zu öffnen.
Wenn dieser mal über Webseiten Scripts/Bilder oder was auch immer vertrieben wird kann ich nur noch raten
Internetverbindung-kappen das wäre die einzige lösung.

Wie man das nun nennt .. Nun sucht es euch selbst aus wenn euch meine art der Antwort
zu agressiv oder nicht gefällt.

Was mir pers. in deinem Statement nicht gefällt, ist der Umstand, dass du die Täter in Schutz zu nehmen scheinst (Anzeige). Jedes ausgeraubte Opfer hätte ja die Wahl gehabt, zu einem anderen Zeitpunkt zu kommen oder gar einen anderen Weg zu nehmen...

Deinen Standpunkt hast Du zur Freude aller deutlich vertreten, es wäre der Diskussion/Arbeit sicherlich dienlich, wenn der Fokus wieder darauf gelenkt würde.

Daniel 3. Jun 2012 18:29

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:

Zitat von blawen (Beitrag 1169306)
[...] es wäre der Diskussion/Arbeit sicherlich dienlich, wenn der Fokus wieder darauf gelenkt würde.

Darum möchte ich bitten. :-) Klärt den Rest bitte per PN.

EWeiss 3. Jun 2012 18:36

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:

Was mir pers. in deinem Statement nicht gefällt, ist der Umstand, dass du die Täter in Schutz zu nehmen scheinst (Anzeige).
Keines falls.
Aber jeder ist doch für sein tun selbst verantwortlich das kann einem niemand abnehmen.
Wie schon gesagt sollte der Virus jedoch ohne eigenes verschulden beim öffnen einer Webseite installiert werden
dann ist das tragisch und es tut mir leid für die Leute die dann davon betroffen sind.

Aber wie Daniel schon sagt!
Zitat:

Bedenke bitte, dass Dich niemand zur Beteiligung an diesem Thema zwingt.
Ziehe ich mich besser zurück.
Harte Meinungen die nicht allen gefallen, gefallen können scheinen nicht erwünscht zu sein.
So kann sich das alles wieder etwas beruhigen.

gruss

Michael Habbe 3. Jun 2012 19:01

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Liste der Anhänge anzeigen (Anzahl: 1)
Ich habe heute nachmittag vom Kunden eine Mail mit Anhang weitergeleitet bekommen, den er diesmal nicht geöffnet hat. Dort drin wieder eine Rechnung.pif, die ich sofort in meiner VM aktiviert habe.

Ich hatte einen Ordner mit über 5100 Textdateien erstellt, die denselben Inhalt haben, siehe Anhang.
Nun ist es eingetreten, was ich versucht hatte zu erreichen: Es sind zwei verschlüsselte Dateien aufgetaucht, die den gleichen Namen erhalten haben: "NXaQlAULnxDNXaulAU". Allerdings sind die ersten 12 kB nicht gleich.

edit: Im Anhang befindlich Originaltextdatei und die beiden verschlüsselten mit dem gleichen Namen.

Der Dateiname kann Zufall sein, aber ich überlege, ob ich Dateien erstelle, in deren Inhalt eine fortlaufende Nummer abgespeichert ist, zwecks Wiederfinden.

Was meint ihr?


Michael


PS: Die "rechnung.pif" ist 96 kB groß und von heute morgen 8:10 Uhr, bei Interesse bitte melden.

Daniel 3. Jun 2012 19:08

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
In dem Zusammenhang eine Bitte:
Die geäußerten Bedenken bzgl. der Sicherheit der Anhänge sind ja absolut legitim. Könntet Ihr gerade bei diesem Thema kurz (ein Satz langt) skizzieren, was in der angehängten Datei enthalten ist und ob es - nach gegenwärtigem Kenntnisstand - eine potentielle Bedrohung für denjenigen darstellt, der die Datei herunterlädt.

Für Euch, die thematisch und gedanklich in der Diskussion stecken, wird dies wahrscheinlich offensichtlich sein - für manch anderen vielleicht nicht. Ein kurzer Hinweis könnte daher schnell und einfach Gewissheit schaffen. Danke Euch. :-)


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:52 Uhr.
Seite 3 von 9     123 45     Letzte » 

Powered by vBulletin® Copyright ©2000 - 2022, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2021 by Daniel R. Wolf