Delphi-PRAXiS
Seite 4 von 9   « Erste     234 56     Letzte » 

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Algorithmen, Datenstrukturen und Klassendesign (https://www.delphipraxis.net/78-algorithmen-datenstrukturen-und-klassendesign/)
-   -   Verschlüsselungs-Trojaner, Hilfe benötigt (https://www.delphipraxis.net/168380-verschluesselungs-trojaner-hilfe-benoetigt.html)

RMC 3. Jun 2012 18:14

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:

Zitat von EWeiss (Beitrag 1169311)
Zitat:

Was mir pers. in deinem Statement nicht gefällt, ist der Umstand, dass du die Täter in Schutz zu nehmen scheinst (Anzeige).
Keines falls.
Aber jeder ist doch für sein tun selbst verantwortlich das kann einem niemand abnehmen.
Wie schon gesagt sollte der Virus jedoch ohne eigenes verschulden beim öffnen einer Webseite installiert werden
dann ist das tragisch und es tut mir leid für die Leute die dann davon betroffen sind.

Aber wie Daniel schon sagt!
Zitat:

Bedenke bitte, dass Dich niemand zur Beteiligung an diesem Thema zwingt.
Ziehe ich mich besser zurück.
Harte Meinungen die nicht allen gefallen, gefallen können scheinen nicht erwünscht zu sein.
So kann sich das alles wieder etwas beruhigen.

gruss

So - hoffe jetzt, daß wir uns nun wieder ernsthaft der 'Sache' annehmen können und durch deartige 'Belehrungen' nicht mehr gestört werden!

Mittlerweile habe ich in anderen Foren auf den ich ebenfalls jetzt angemeldet bin mitbekommen, daß sich die Sache extrem ernsthaft ausbreitet.

Ich habe mich mittlerweile mit der Kripo unserer Stadt unterhalten - innerhalb 3 Tagen wurden 15 Strafanzeigen gegen Unbekannt gestellt. Der Kripobeamte wußte am Telefon extrem gut Bescheid über den neuen Trojaner der noch nicht entschlüsselt werden kann und hatte seine Informationen von weiteren EDV-Kripokollegen aus anderen Städten Deutschlands bei den Strafanzeigen eingingen deswegen. Würde mich also nicht wundern, wenn das in Kürze in entsprechenden Medien publiziert wird.

Ich bin selbst am 'debuggen' was die Verschlüsselung angeht - bin allerdings mit meinem 'Latein' echt am Ende. Jedenfalls werde ich alles dran setzen in nächster Zeit Informationen über die neue Verschlüsselung zu sammeln und diese für alle posten, damit möglichst bald eine Entschlüsselung gefunden und verbreitet werden kann!
.....die Hoffnung stirbt zuletzt.....

RMC

Klaus01 3. Jun 2012 18:26

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:

Zitat von Michael Habbe (Beitrag 1169316)
Ich habe heute nachmittag vom Kunden eine Mail mit Anhang weitergeleitet bekommen, den er diesmal nicht geöffnet hat. Dort drin wieder eine Rechnung.pif, die ich sofort in meiner VM aktiviert habe.

Ich hatte einen Ordner mit über 5100 Textdateien erstellt, die denselben Inhalt haben, siehe Anhang.
Nun ist es eingetreten, was ich versucht hatte zu erreichen: Es sind zwei verschlüsselte Dateien aufgetaucht, die den gleichen Namen erhalten haben: "NXaQlAULnxDNXaulAU". Allerdings sind die ersten 12 kB nicht gleich.
aber
Der Dateiname kann Zufall sein, ich überlege, ob ich Dateien erstelle, in deren Inhalt eine fortlaufende Nummer abgespeichert ist, zwecks Wiederfinden.


.. ich lese hier interessiert mit.

Hattest Du die Möglichkeit den Netzwerkverkehr aufzuzeichnen?
Falls er nicht verschlüsselt ist, sollten da doch einige nützliche Informationen enthalten sein.

Grüße
Klaus

markusg 3. Jun 2012 18:27

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
@pcnberlin
kann ich dir gar nicht so genau sagen, muss ich mir mal angucken.

84.72.41.161
bei welchem sample hast du diese ip gefunden?

Michael Habbe 3. Jun 2012 18:48

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Liste der Anhänge anzeigen (Anzahl: 2)
Zitat:

Zitat von Klaus01 (Beitrag 1169320)
Hattest Du die Möglichkeit den Netzwerkverkehr aufzuzeichnen?
Falls er nicht verschlüsselt ist, sollten da doch einige nützliche Informationen enthalten sein.

So, habe das mal nachgeholt. Hat lange gedauert, ich dachte erst, er würde nix mehr verschlüsseln.
Habe die Protokolldatei von Wireshark angehängt.
Zudem wurden wieder zwei Dateien gleichen Namens (srUEsxjrXJueNUEsGArpv) erzeugt. Auch anbei. Die Dateien aus dem Temp-Ordner kann ich bei Bedarf nachreichen.


Michael

markusg 3. Jun 2012 20:37

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
hab auch noch n paar whireshark protokolle falls nötig.

pcnberlin 3. Jun 2012 23:59

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
@markusg
Funktioniert der alte Cryptovirus überhaupt noch, wenn ja, dann überträgt er vermutlich nichts wichtiges. Wäre aber schon interessant. Kannst mir auch gerne einige Samples zukommen lassen, dann kann ich das auch alleine anschaun ;-)
Zu der fraglichen IP: Ich beobachte regelmäßig, was ein whois auf die verschiedenen CC-Server ergibt. Und da war diese IP dabei. Ist zwar vermutlich ein Dialup, aber vielleicht läuft da auch mal keine Linux-Box, die so abgesichert ist oder man kann ggf. per Strafverfolger was erreichen. Das sollten wir im Auge behalten.

@RMC & Michael Habbe & alle

Ich weiß nicht genau, wie ich Eure letzten Posts verstehen soll: Ihr schreibt, dass Ihr den Netzwerkverkehr aufzeichnen wollt & am Debuggen seid. Seit dieser Thread gestartet wurde, wird hier doch nichts anderes getan, als diesen Trojaner zu analysieren.

Wir wissen zu ca. 90%, wie er funktioniert. Wir wissen sehr genau, wie der Netzwerkverkehr aussieht (drei Aufrufe, verschiedene Domains, unverschlüsselt), wie er verschlüsselt (RSA RC4, MD5, CAPI: Danke an Marcu), was er für Dateien anlegt (System32, Benutzerverzeichnis, .pre-Dateien, %temp%-Dateien), welche Registry-Einträge er macht. Ja, wir wissen auch wie eine Entschlüsselungsroutine (http://www.delphipraxis.net/1167848-post41.html) theoretisch aussehen könnte.

Ich habe das alles soweit hier zusammengefaßt: http://blog.save-privacy.de/index.ph...e-Version.html

Wenn Ihr also die Hoffnung* noch nicht aufgegeben habt, oder Ideen habt, wie man doch noch etwas erreichen könnte, dann postet bitte diese Ideen und ruft nicht nur nach verschlüsselten Dateien, weiteren Samples usw und laßt uns ZUSAMMEN daran arbeiten! Es macht einfach keinen Sinn, die Hoffnung der Betroffenen zu schüren ohne konkrete Hinweise zu haben, etwas erreichen zu können. Und es ist auch nicht sinnvoll, wenn jeder für sich bei Null beginnt, weshalb wir Transparenz brauchen.

Und wenn es nun doch so aussieht, dass es gegen diesen Trojaner keine Lösung geben sollte (auf die Verschlüsselungsproblematik bezogen), dann sollte das auch offen so kommuniziert werden!

* Ein möglicher Ansatzpunk wäre z.B. noch mal zu verifizieren, wie der Basekey gebildet wird. Wenn dieser statisch, z.B. maschinenabhängig wäre, ließe sich eventuell ein Keygen schreiben, wenn er mit Zufallswerten bestückt ist, haben wir verloren. Aber: Wenn dieser Schlüssel doch noch irgendwo abgelegt wird, dann ... Letzteres wollte sich Marcu noch anschaun & wer hier helfen kann - das wäre auf alle Fälle ein sinnvoller Ansatzpunkt.

omata 4. Jun 2012 00:47

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:

Zitat von Marcu (Beitrag 1167900)
... Der Virus schreibt eine Kopie von sich selbst letztendlich in das Verzeichnis "c:\windows\system32\"

Arbeitet ihr etwa alle als Administratoren? Oder wie soll ein Programm irgendetwas nach c:\windows\system32\ schreiben dürfen? Und wenn das so ist, dass hier als Administrator gearbeitet wird, dann kann ich da nur selbst schuld zu sagen. Man arbeitet (genau aus diesem Grund) nicht als Administrator!

Dalai 4. Jun 2012 01:00

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:

Zitat von omata (Beitrag 1169372)
Zitat:

Zitat von Marcu (Beitrag 1167900)
... Der Virus schreibt eine Kopie von sich selbst letztendlich in das Verzeichnis "c:\windows\system32\"

Arbeitet ihr etwa alle als Administratoren? Oder wie soll ein Programm irgendetwas nach c:\windows\system32\ schreiben dürfen?

Da hast du zwar prinzipiell recht (mal Exploits oder Lücken im System außen vor gelassen), aber es genügt völlig, wenn sich Schadsoftware ins Verzeichnis des Benutzers schreiben kann und die Dateien des Benutzers verschlüsselt. Dagegen hilft auch keine Beschränkung auf Gastrechte. Das einzige, was helfen würde, wäre ein Verhindern des Löschens von Dateien durch eine Art "Sticky" (das geht auch auf NTFS), allerdings hindert sowas natürlich auch beim normalen Arbeiten mit Dateien. Genau das ist ja der Grund, warum diese Kategorie von Schadsoftware so gefährlich ist. Klar, Backups kann und sollte man machen, aber auch damit kann man sich nicht gegen alles wappnen.

MfG Dalai

omata 4. Jun 2012 01:12

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:

Zitat von Dalai (Beitrag 1169374)
... aber es genügt völlig, wenn sich Schadsoftware ins Verzeichnis des Benutzers schreiben kann ...

Das ist mir klar. Aber hier wurde von einem System-Verzeichnis gesprochen und das deutet nunmal daraufhin, dass hier mit Systemen (die sich im öffentlichen Netz befinden) scheinbar unverantwortlich gearbeitet wird. Vermutlich wird auf solchen Systemen dann auch noch der Internet-Explorer zum surfen verwendet oder Outlook für die Mails verwendet. Da braucht man sich nun wirklich nicht wundern, das die Kiste verseucht wird.

Aber ich will eure Diskussion hier nicht stören. Ich hatte nur aufmerksam gelesen und musste mein Kopfschütteln mal zum Ausdruck bringen.

Morphie 4. Jun 2012 08:23

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:

Zitat von omata (Beitrag 1169376)
Vermutlich wird auf solchen Systemen dann auch noch der Internet-Explorer zum surfen verwendet oder Outlook für die Mails verwendet. Da braucht man sich nun wirklich nicht wundern, das die Kiste verseucht wird.

Womit begründest du deine Annahme, dass der IE zum surfen unsicher sein sollte? Oder dass Outlook unsicherer ist als irgendein x-beliebiger anderer Mailclient? Klingt für mich eher nach subjektivem Fanboy-geflame...

Zitat:

Zitat von http://t3n.de/news/browser-sicherheit-chrome-firefox-ie9-351222/
Google hat das unabhängige Sicherheitsunternehmen Accuvant beauftragt, aktuelle Browser einem Sicherheitscheck zu unterziehen. In diesem Test konnte der Google-Browser den ersten Platz belegen - der Open Source-Browser Firefox musste sich selbst Microsofts Internet Explorer 9 geschlagen geben. Chrome konnte sich besonders durch die zum Einsatz kommende Sandboxing-Technologie und Plug-in-Sicherheit gegen die Konkurrenz behaupten.


Michael Habbe 4. Jun 2012 08:29

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Es wird langsam OT. :cry:


Michael

markusg 4. Jun 2012 09:30

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
hi, sehe ich auch so.
dieser thread sollte nicht für sollte hätte könnte verwendet werden.
es ist nun mal so und wird wohl leider immer so bleiben, das leute auf soetwas reinfallen.
das hatt auch nichts mit dem ie zu tun, der aus meiner sicht zu unrecht verteufelt wird, denn wenn du deine software nun mal nicht aktuell hällst, kann dir das mit jedem browser passieren.
zumal hier ja keine sicherheitslücken genutzt werden, und der spam an sich auch nicht so schlecht gemacht ist.
wegen der ip:
ich kümmere mich darum das sie an die richtige stelle gelangt.
und die alten samples sende ich dir noch.

johX 4. Jun 2012 11:21

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Hi zusammen,

ich habe gerade auch eine Festplatte mit verschlüsselten Dateien liegen.

Dateinamen: beliebig, z.B. OjLqEjLpeTDpesdGf
verschlüsselt: 3k hex Bytes, Rest wie Original
Temp-Dateien: hier sind bei den Temp-Dateien die ersten 19 Bytes unterschiedlich, der Rest scheint gleich zu sein.

blöderweise viele wichtige, nicht gesicherte Dateien.

wer Interesse an den/einigen Dateien hat, bitte melden.

Grüsse
Jochen

markusg 4. Jun 2012 13:47

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
@pcnberlin
hast du die ips der whois abfragen alle gespeichert? die hätte ich gern.

pcnberlin 4. Jun 2012 14:18

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
@markusg
Nein, habe keine komplette Aufzeichnung. Allerdings hat sich da auch immer nicht viel geändert. Nur die Domains, die genutzt werden ändern sich ab und an. Und die IPs, die jetzt aktiv sind, waren auch schon früher aktiv. Bei der schweizer fand ich es halt ganz interessant. Da läuft aber auch wieder ein aktuelles Linux drauf. Der Rest der IPs waren immer Russland, China, US, CA (Hardware-Switch o.ä.) und einmal war eine NL dabei.

Hat jemand Lust, ein kleines Script zu schreiben, dass die domains überwacht (und bei neuen EU-IPs eine Mail ans BKA abfeuert)? :-)

markusg 4. Jun 2012 14:47

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
ich hab ja schon passende kontakte, nen tool währe da also nciht von nöten.
ob die ips in china oder ru liegen is auch egal, interessant sind sie trotzdem :-)

CAG83 4. Jun 2012 14:52

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Hi!

ist eien Chance auf Decrypt nun eigentlich gestorben? Oder arbeitet hier noch jemand daran?
Im Trojaner-Board melden sich täglich Kunden, die vor ihren verseuchten Files sitzen und nicht wissen obs sie neu aufsetzen sollen oder noch warten sollen unw.

Marcu 4. Jun 2012 20:27

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Liste der Anhänge anzeigen (Anzahl: 3)
Hallo

in der angehängten Datei befindet sich ein Programm (inkl Source) mit dem man das Temp-File ohne Erweiterung entschlüsseln kann. Der Virus muss sich verschiedene Informationen merken. (z.B: Wie viele Fehleingaben es bereits gab.) So etwas findet man in diesem ersten TmpFile.

@pcnBerlin und alle die einen Debugger haben
Hast du eine Idee wie wir übersetzten Assemblercode so tauschen können, dass der andere schnell die entsprechende Codestelle im Virus finden kann? Sollen wir eine hexadezimale Bytefolge als Kommentar in den Delphicode reinschreiben? Hast du eine Ahnung was für eine Bedeutung hinter der Zeichenfolge "12341234123412341234" im Tmp-File steckt? Ist mir bisher noch nicht über den Weg gelaufen.

(Damit kein falscher Eindruck entsteht... ich spreche Delphi normalerweise nicht mit so ausgeprägtem C-Akzent. Das ist nur damit man schneller im Virencode die Parallele findet :-D )

@CAG83
Ich glaube jeder einfühlsame Mensch hat ein Problem dir zu antworten und hofft lieber etwas übersehen zu haben was ein anderer hoffentlich findet.

CAG83 4. Jun 2012 20:40

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
@Marcu:
Ich versuche, einfühlsamer zu werden;-)
OT aus.

pcnberlin 4. Jun 2012 21:00

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
@CAG83

Auch hier bei mir kommen leider immer mehr Anfragen. Unsere Strategie bei verseuten Rechnern:
1) Komplettsicherung mit z.B. True Image, wenn die Daten sehr sehr wichtig sind, dann ein dd-image
2) Virus entfernen
3) Daten retten / shadow copy -> externe HDD
4) System neu installieren, Updates, Virenscanner
5) Daten zurück

@Marcu

Hey, schön wieder etwas von Dir zu lesen! Ich bin begeistert, dass Du immer noch an dem Trojaner arbeitest. Hier ist leider gerade Land unter und ich komme nicht zum Debuggen :-(

Zitat:

Zitat von Marcu (Beitrag 1169510)
in der angehängten Datei befindet sich ein Programm (inkl Source) mit dem man das Temp-File ohne Erweiterung entschlüsseln kann. Der Virus muss sich verschiedene Informationen merken. (z.B: Wie viele Fehleingaben es bereits gab.) So etwas findet man in diesem ersten TmpFile.

Schade, wenn es nicht mehr sein sollte, aber super Arbeit! Ich werde mir das dann auch mal genauer anschaun.

Zitat:

Zitat von Marcu (Beitrag 1169510)
@pcnBerlin und alle die einen Debugger haben
Hast du eine Idee wie wir übersetzten Assemblercode so tauschen können, dass der andere schnell die entsprechende Codestelle im Virus finden kann? Sollen wir eine hexadezimale Bytefolge als Kommentar in den Delphicode reinschreiben? Hast du eine Ahnung was für eine Bedeutung hinter der Zeichenfolge "12341234123412341234" im Tmp-File steckt? Ist mir bisher noch nicht über den Weg gelaufen.

Zur Ersten Frage: Ich habe leider spontan keinen Einfall, wie das zu realisieren wäre. Gibt es hierfür nicht irgendein plugin für OllyDbg (Logfile o.ä.)? Zur Zweiten Frage: Von der Zeichenkettenlänge her könnte es sich um einen Platzhalter für einen Paysafe/Ucash-Code handeln, ansonsten ist es mir auch noch nicht über den Weg gelaufen.

bombinho 6. Jun 2012 01:09

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Mein tmp file ist nach dem Entpacken nur voller 00h. Allerdings habe ich mit dem kleinen tool sofort wieder meinen Arbeitsplatz vor mir gehabt und noch keine Eingaben getaetigt. Version 1.555.1

johX 6. Jun 2012 16:20

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Was ist eigentlich mit den Windows-Beispielbildern?
Hat mal irgendwer verschiedene Versionen von unterschiedlichen Rechnern auf Gemeinsamkeiten in den verschlüsselten Bereichen gecheckt?

pcnberlin 6. Jun 2012 21:16

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
@johX

Ich denke nicht, dass uns das wirklich weiterbringen wird. Der zur Verschküsselung genutzte Schlüssel ist sehr wahrscheinlich zumindest anteilig dynamisch. Für jede einzelne Datei wird zudem ein eigener Schlüssel generiert.

@Marcu

Ich konnte anhand eines verseuchten Rechners und Deines Tools nachvollziehen, dass in der temp-Datei (1kb) die Paysafe/Ucash-Nummer mit abgespeichert wird, vermute deshalb, dass Du 1234123412341234 mal zum Testen eingegeben hattest und das nun in Deiner Datei steht. Bei dem verseuchten Rechner wurde eine reale Nummer eingegeben (es wurde NICHT entschlüsselt) und die Nummer steht in der Datei. Habe sie auch mit dem Kundenbeleg verglichen - identisch.

bombinho 6. Jun 2012 21:38

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Kann noch jemand bestaetigen, dass EAX mit DEADCAFE geladen wird? Dann waere das ja mal ein Name fuer das Teil.

johX 7. Jun 2012 00:00

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:

Zitat von pcnberlin (Beitrag 1169754)
@johX

Ich denke nicht, dass uns das wirklich weiterbringen wird. Der zur Verschlüsselung genutzte Schlüssel ist sehr wahrscheinlich zumindest anteilig dynamisch.

Ich habe mal die relevanten Teile deiner Aussage ;-) markiert.
Ich glaube zwar auch nicht, das es großartig helfen wird, aber dann wäre zumindest ausgeschlossen, das uns dieser Ansatz weiterbringt.

Zitat:

Zitat von pcnberlin (Beitrag 1169754)
Für jede einzelne Datei wird zudem ein eigener Schlüssel generiert.

Ist das sicher oder eine Vermutung?
Klar ist für mich nur, das die verschlüsselten Bytes bei ähnlichen Dateien unterschiedlich sind.
Aber wie sieht es aus bei gleichen Dateien im gleichen Verzeichnis?
Z.B. bei 2 Durchläufen des Trojaners auf die gleichen Daten?

wo ich gerade bei den mir offenen Fragen bin:
- was passiert mit einer Datei mit z.B. 30k (40k 50k) Nullen?
- wird wirklich verschlüsselt oder einfach mit Random-Werten überschrieben?
- wie werden die Dateinamen bei unterschiedlichen Durchläufen gesetzt? (ok, eher nebensächlich)
- warum hat der Programmierer er versäumt, bei der mir vorliegenden Original-Platte das Verzeichnis c:\Lego-Bilder zu verschlüsseln/umzubennen, obwohl ansonsten auf beiden Partitionen der Platte alles versclüsselt wurde?

eventuell schaffe ich es ja, am WE mal einen Testrechner aufzusetzen.

ich kann mir nicht vorstellen, das (wie du im Blog meinst), der Programmierer eine saubere, fehlerfreie Implementierung hinbekommt. Wie war das noch mit SSL...

Gruß
Joh

johX 7. Jun 2012 00:16

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:

Zitat von pcnberlin (Beitrag 1169754)
Bei dem verseuchten Rechner wurde eine reale Nummer eingegeben (es wurde NICHT entschlüsselt) und die Nummer steht in der Datei. Habe sie auch mit dem Kundenbeleg verglichen - identisch.

Das heißt, du hast tatsächlich jemanden, der definitiv bezahlt hat und dessen PC nicht entschlüsselt wurde?
Wie wäre es mit einem offiziellem Beitrag in c't oder Co. Dann hatte ich bei meinen Kunden mal was in der Hand :P

Marcu 7. Jun 2012 02:13

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
@pcnberlin

Zitat:

... vermute deshalb, dass Du 1234123412341234 mal zum Testen eingegeben hattest..
Es ist schön dass wenigstens du weißt was für Testdaten ich eingegeben habe. ... mein lieber Schwan ... ist das peinlich... :oops:


@Alle

Es tut mir leid. Kein Happy End!

Es gibt kein Hintertürchen im Programm, keine nennenswerten Programmierfehler, keine logischen Fehler, keine Schwachstelle in der Parametrierung der Verschlüsselungsfunktionen und keine Schwäche in der Zufallsfunktion. Ich habe die relevanten Funktionen der Malware zurückübersetzt und im Detail nachvollzogen. Es ist keine Vermutung mehr von mir und ich kann mit Sicherheit sagen: Das benötigte Passwort ist nicht mehr auf den betroffenen Computern. Es gibt keinen Weg dieses Passwort zu berechnen. Es gibt keinen Weg das Passwort zu Lebzeiten zu erraten. Es ist diesmal nicht möglich mit einem Vergleich zwischen Originaldateien und verschlüsselten Dateien eine Entschlüsselung für alle Dateien abzuleiten. Es bleibt nur zu hoffen, dass ein Polizist das Passwort zurückbringt.

Benötigt wird das Passwort für eine Datei in der zu jeder verschlüsselten Datei der Originalname, der zufällige neue Dateiname und das zufällige Passwort steht mit der die Datei verschlüsselt wurde. Der Virus speichert diese Katalogdatei im Temp-Verzeichnis mit der Dateierweiterung ".$02" ab. Z.B: 1C7F90CE4148555A5355.$02
Eigentlich wäre es sehr einfach ein Programm zu schreiben welches die Daten restauriert. Man muss lediglich das Programm unter #138 mit der Funktion unter #41 koppeln und seine entschlüsselte $02-Katalogdatei als Eingabe bereitstellen. Daraus wird leider nichts solange das Passwort zum Entschlüsseln der $02-Datei nicht herbeigeschafft ist.

Es gibt eine einzige kleine Schwachstelle im Virenprogramm, die aber nicht reicht um die Daten zu entschlüsseln. Während der Verschlüsselungsphase legt der Virus eine Datei mit der Endung ".$03" im temp-Verzeichnis an. In dieser Datei steht für jede verschlüsselte Datei die Zuordnung zwischen dem Originaldateinamen und dem neuen zufälligen Dateinamen. Diese Datei wird nach der Verschlüsselung mit einem simplen kernel32_DeleteFileA gelöscht. Man hat also tatsächlich eine Chance diese Datei wiederherzustellen.
Mit der $03-Datei ist es möglich den verschlüsselten Dateien ihren Originalnamen zurückzugeben. Jedoch bleibt es weiterhin nicht möglich die Dateien vollständig zu reparieren, da in der $03-Datei nicht das Passwort für die Verschlüsselung steht. Die $03- Datei lässt sich mit dem Programm unter #138 entschlüsseln. Das zu machen hat aber wahrscheinlich für Niemanden einen Sinn.


pcnberlin hat Recht wenn er sagt, dass man den Opfern dieser Malware nicht hilft wenn man schweigt.
Es ist allen dringend zu raten eine Anzeige zu erstatten. Wenn viele Anzeigen bei der Polizei vorliegen, erhöht das sicher die Bereitschaft zu ermitteln. Vielleicht ist der Täter nicht in Deutschland. Es kann lange dauern bis die Passwörter beschlagnahmt sind. Deswegen sollten die Opfer eine Sicherungskopie anfertigen und jetzt eine Neuinstallation durchführen.

Ich möchte mich noch bei allen bedanken. Der konstruktive und freundschaftliche Umgang bei der Analyse der Malware war echt klasse. Vielen Dank an pcnberlin und Michael und Markusg und an alle anderen.
Falls sich bei mir mehr als drei Interessierte melden, werde ich ein Paper machen in dem die Funktionsweise dokumentiert ist. Bitte PM an mich.

Noch ein letztes Wort an die Opfer - falls die hier mitlesen:
Es gibt keinen Grund mit sich selbst böse zu sein, weil man dieses blöde Zip-File angeklickt hat. Der Gebrauch von E-Mailanhängen so wie er heute üblich ist, ist leider schrecklich kaputt. Die Regeln die empfohlen werden sind ein Armutszeugnis der EDV. Wenn man sich bei dieser Sache Selbstvorwürfe macht, dann richtet man seinen Zorn an den falschen.

Viele Grüße
Marcu

deraddi 7. Jun 2012 08:03

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Hallo, mein erster Beitrag hier und ich habe direkt 1-2 Fragen.
Danke erstmal @ Marcu für Deine Mühen, habe den Verlauf mitverfolgt.

Ich habe Teildaten einer Festplatte von einer 130 km entfernten Bekannten hier vorliegen, die den Matsnu.A.23 erwischt hat. Ca 4800 Fotos sind futsch, davon konnten wir von ihrer Sicherung gut 2300 wiederherstellen. Der Rechner ist aber nun eh wertlos weil sie nun einen Laptop gekauft hat (Mit externer Sicherungsplatte ;) ) da einige Kondensatoren auf dem betagten Mainboard schon aufgebläht waren und diverse Bluescreens Verdacht auf Hardwaredefekt früher schon vermuten ließen.

Kriege die Platte per Paketdienst morgen oder übermorgen und werde in den gelöschten Bereichen im Temp mal weitersuchen. Schattenkopien waren deaktiviert ... Habe schon fast aufgegeben das AES je geknackt werden könnte, aber Dein letzter Beitrag ließ mich nochmal nachsehen: diese $02 Datei habe ich auf der Platte gefunden. Es gibt aber eine nur 1 kB große Datei mit fast identischem Namen ohne Endung im selben Ordner, was hätte sie für eine Bedeutung?
Ich hänge ein RAR an, den Virus habe ich 2x gefunden mit verschiedenen Dateinamen.

TBUndertaker 7. Jun 2012 08:50

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Achtung, im RAR von @deraddi ist der Trojaner und das RAR ist ohne PW.
Admins, bitte den Anhang löschen!!!


Hallo liebe Delphis,
ich komme vom Trojaner Board und lese hier seit Anfan an mit.
Bisher hatte ich mich nicht registriert, da meine Programmierkenntnisse zu schwach sind, um hier sinnvoll mitarbeiten zu können.
Ich habe das heute auf Grund Marcu's letztem Post trotzdem getan.
Es ist mir ein Bedürfnis all denjenigen zu danken, die sich die Nächte um die Ohren geschlagen haben, nur um Anderen zu helfen.

Der letzte Beitrag von Marcu macht mich trotzdem nachdenklich.
Dass das Password nicht explitid auf dem Rechner zu finden ist, kann ich nachvollziehen.
Stellt sich nur die Frage, wo es ist.
Ist es nur ein Passwort für Alle?
Gibt es jeden Tag ein neues Password?
Gibt es für jeden Rechner eins?
Ich stelle mir gerade vor, welchen administrativen Aufwand die Verwaltung der Passworddatenbank bedeutet.
Ich kann mir auch nicht vorstellen, dass die Passworte irgendwo auf der Welt gespeichert sind und ein Polizist die irgendwann zurück bringen könnte.

Eher bin ich davon überzeugt, dass der fehlende Part so simpel gestrickt ist, dass wir ihn nicht sehen.

Gruß Undertaker

Daniel 7. Jun 2012 08:59

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Guten Morgen und Danke für die Warnung bzgl. des Anhangs.

Wenn Ihr für Recherche-Zwecke ein lebendiges Exemplar des Trojaners benötigt, so verlinkt ihn meinetwegen irgendwie, schreibt aber in rot und fett unmissverständlich eine Warnung neben den Link. Als Anhang kann ich den Trojaner hier nicht gestatten, da das Risiko einer Infektion durch unbewusstes oder gar leichtfertiges Verhalten einfach zu groß ist. Ich bitte um Verständnis.


Zur Sache selbst kann ich leider nichts sagen - es wäre schade, wenn der Algorithmus gut genug ausgearbeitet wäre, um in endlicher Zeit nicht zu knacken wäre. Aber vom technischen Standpunkt ausgesehen würde es mich nicht überraschen, da die Kryptographie weit genug aufbereitet wurde, so dass der Zugang zu komplexer Verschlüsselung vergleichsweise leicht geworden ist.

EWeiss 7. Jun 2012 10:35

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:

Als Anhang kann ich den Trojaner hier nicht gestatten, da das Risiko einer Infektion durch unbewusstes oder gar leichtfertiges Verhalten einfach zu groß ist. Ich bitte um Verständnis.
Was soll ich sagen! Danke.
Auch für die vorhergegangene Warnung


gruss

deraddi 7. Jun 2012 11:05

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Moin,

sorry für den vorschnellen Upload, gestehe ich ein. Muss aber anmerken das die Viren unschädlich gemacht wurden, der Anhang wurde in EXE!!! umbenannt. Wer den starten will muss schon leichtsinnig und willentlich die Datei umbenennen, wäre also nicht unbedingt was passiert.
Wer das Archiv trotzdem möchte, eine kurze Nachricht genügt.

Der Virus lässt mir keine Ruhe, ich bin schon ungeduldig bis ich die Festplatte in der Hand habe, ob ich in den gelöschten Bereichen was finde. Irgendwie will ich noch nicht aufgeben.
Könnte man wenn man seine Vorgehensweise komplett verstanden hat nicht eine Strategie für rückwärts entwickeln?

Klaus01 7. Jun 2012 12:21

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:

Zitat von TBUndertaker (Beitrag 1169788)
Ich stelle mir gerade vor, welchen administrativen Aufwand die Verwaltung der Passworddatenbank bedeutet.
Ich kann mir auch nicht vorstellen, dass die Passworte irgendwo auf der Welt gespeichert sind und ein Polizist die irgendwann zurück bringen könnte.

Eher bin ich davon überzeugt, dass der fehlende Part so simpel gestrickt ist, dass wir ihn nicht sehen.

Gruß Undertaker

oder der Ersteller des Trojaners hat nicht im geringsten daran gedacht diese Dateien je wieder herstellen zu könnnen.
Damit wäre der administrative Aufwand gleich Null.

Grüße
Klaus

EWeiss 7. Jun 2012 12:32

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:

Zitat von Klaus01 (Beitrag 1169816)
Zitat:

Zitat von TBUndertaker (Beitrag 1169788)
Ich stelle mir gerade vor, welchen administrativen Aufwand die Verwaltung der Passworddatenbank bedeutet.
Ich kann mir auch nicht vorstellen, dass die Passworte irgendwo auf der Welt gespeichert sind und ein Polizist die irgendwann zurück bringen könnte.

Eher bin ich davon überzeugt, dass der fehlende Part so simpel gestrickt ist, dass wir ihn nicht sehen.

Gruß Undertaker

oder der Ersteller des Trojaners hat nicht im geringsten daran gedacht diese Dateien je wieder herstellen zu könnnen.
Damit wäre der adminstrative Aufwand gleich Null.

Grüße
Klaus

Was ich schon sehr sehr weit vorne in einem Thread angesprochen habe.
Zitat:

Es ist Dumm zu glauben das der Schlüssel irgendwo zwischengelagert wird das ist einfach nur ein Witz.
Sorry wenn jemand so etwas macht wäre der Aufwand die Generierten Schlüssel zu sichern einfach zu hoch.
Wie will er diese dann anschließend dem richtigen User auch noch zukommen lassen über die erkennung der IP
das ist unmöglich da eine IP nicht zur identifizierung eines Person ausreichend ist siehe dynamische IP's als Beispiel.

Ich stehe mit beiden Beinen auf den Boden auch wenn es mir leid tut für die, die betroffen sind
die Erfolgsaussichten mit kleiner einschränkung (falls er die doch gesichert hat) gleich null.
Man kann also nur hoffen das die Rechtsvertreter da mal irgendwann etwas finden.

Die Hoffnung stirbt zuletzt.

PS:
Das problem ist aber auch das es vordefinierte Ordner im BS gibt in dem alles reingeknallt wird
Niemand wird jemals erleben das ich unter
  • Eigene Bilder
  • Eigene Dokumente
  • Eigene Musik
  • Eigene Videos

jemals etwas ablege das läd ja nur dazu ein Schabernack damit zu treiben.


gruss

highend 7. Jun 2012 12:49

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Falls die Teilschlüssel wirklich jemals in einer DB auf den CC Servern abgelegt worden sind und selbst wenn es den Behörden gelänge, einen dieser Server zu sichern und die Schlüssel zu veröffentlichen, woher sollte man wissen, welcher Schlüssel für den eigenen Rechner zuständig war. Mal angenommen, da sind mittlerweile über 100.000 (Teil-)Schlüssel gespeichert, es würde Wochen / Monate dauern herauszufinden, welcher Schlüssel der passende ist, schließlich könnte die Verifizierung ob eine / bzw. die erste Datei überhaupt korrekt entschlüsselt wurde, nur durch den Benutzer selbst erfolgen. Wobei natürlich zusätzlich erstmal eine Entschlüsselungssoftware geschrieben werden müsste (was aber vermutlich innerhalb einiger Tage geschehen könnte).

Alles in Allem: Die Daten sind zu 99,5% weg. Für immer. Hat man selbst kein Backup zur Hand, welches seit der Infektion auch nicht mehr hätte eingebunden werden dürfen, scheint der Ofen aus zu sein. Das muss entsprechend hart sein, bedenkt man, dass wahrscheinlich die meisten Menschen a.) überhaupt keine Backups machen | b.) Private Daten von vielen Jahren dauerhaft verloren sein können | c.) Evtl. sogar auf einem privaten PC, der auch beruflich genutzt wird, wirtschaftlich relevante Daten verloren sind.

Mein Beileid an alle, die es erwischt hat.

CAG83 7. Jun 2012 13:52

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Bez verschlüsselter jpgs scheinen einige repair tools erfolgreich zu sein, das zeugs wieder herstellen zu können.

highend 7. Jun 2012 14:02

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:

Bez verschlüsselter jpgs scheinen einige repair tools erfolgreich zu sein, das zeugs wieder herstellen zu können
Ja, funktioniert aber nur halbwegs praktikabel bei Bild- (die auch noch groß genug sein müssen) oder Musikdateien oder generell solchen Dateitypen, die trotz Zerstörung des Headers und eines geringen Teils der Nutzdaten noch im Großen und Ganzen lesbar gemacht werden können (kann z.B. auch auf Archive wie .zip / .rar usw. zutreffen).

Andere Arten von Dateien sind unwiederbringlich verloren oder so stark zerstört, dass eine vernünftige Rekonstruktion ausfällt.

Marcu 7. Jun 2012 14:27

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Hallo TBUndertaker

Zitat:

Ist es nur ein Passwort für Alle? Gibt es jeden Tag ein neues Password? Gibt es für jeden Rechner eins?
Ich habe es missverständlich formuliert.

Der Virus bestimmt per Zufall ein individuelles und zufälliges Passwort auf jedem PC und verschlüsselt damit eine Datei die gebraucht wird um alle verschlüsselten Dateien zu entschlüsseln. Der Ablauf ist folgendermaßen:

(Für Leute mit Debugger: Sucht die Funktion bei der eine lokale Variable mit folgendem String initialisiert wird "cmd=lfk&ldn=%u&stat=CRA&rev=%s&data=". Oder sucht die Funktion in der GetLogicalDrivesStringA aufgerufen wird.)

Code:
procedure BuildCatalogFiles ".$02" und ".$03" and EncryptUserfiles

  while Busyflag do
    sleep(1000)
  Busyflag:=True

  Download $Desk-File;

  l:=RandomNumber
  CatalogPassword:=RandomString(l) //l ist Länge des Passworts
  PasswordCopy:=CatalogPassword;

  //Das Passwort für die folgende Verschlüsselung ist leicht zu errechnen
  EnryptWithCrypdllMD5(PasswordCopy)

  //Die folgende Verschlüsselung nenne ich Verschlüsselung. So Leute wie Bruce Schneier nennen so etwas wahrscheinlich "alberne Spielerei". HomeBrewCrypt ist lediglich ein etwas kompliziertere XOR-Verschlüsselung. Man kann in Delphi einfach die disassemblierte Funktion per Cut&Paste zwischen ein "asm" und "end" kopieren. Nach einigen Anpassungen ist dann "HomebrewCrypt" einsatzfähig - ohne anstrengende Rückübersetzung.
 
  EncryptWithHomeBrewCrypt(PasswordCopy);

  UrlEncode(PasswordCopy);

  // CatalogPasswort wird mit einen ID an einen C&C-Server geschickt.ID=HarddriveSerialnumber+Computername
  Done:=SendViaInternetToC&C-Server(HarddriveSerialnumber+Computername,CatalogPassword)
 
  if Done then
  begin
    Catalog$02=GlobalAlloc
    Catalog$03=GlobalAlloc
 
    Drives:=GetLogicalDrivesStringA
    do
       D:=FirstDrive(Drives)  
     
       CreateThread( BuildCatalogEntriesForDrive(D) )
             
       Drives:=Drives-D
    until Empty(Drives);
   
    sleep(3000)
    do
      sleep(1000)
   until all Threads finished

   // Hier kommt das CatalogPasswort zum Einsatz. Nach dem ersten Ausschalten des  Computers
   // ist das Password allein in den Händen der Erpresser.
   EncryptAndSaveToFile (Catalog$02,CatalogPassword)
   
   EncryptAndSaveToFile (Catalog$03,HarddriveSerialnumber+Computername)
   
   EncryptUserFiles(Catalog$02,Catalog$03);
   
  end;

  Busyflag=False;
 
end.
Zitat:

Ich stelle mir gerade vor, welchen administrativen Aufwand die Verwaltung der Passworddatenbank bedeutet.
Genau damit hatte ich auch ein Problem. Bevor ich den Code reversed habe dachte ich noch an eine Art Hashfunktion die billig auf den C&C-Servern zu implementieren ist und aus einer ID ein Passwort generiert. Diese Vermutung war aber dann schnell dahin.
Es ist tatsächlich so, dass ein Passwortbestand von den Erpressern gepflegt wird. In diesem Datenbestand ist für jeden verschlüsselten Computer eine ID (Seriennummer+Computername) und das CatalogPasswort eingetragen.

Ob der Datenbestand in einer Textdatei oder in einer Datenbank oder in einer Cloud steckt kann man rausfinden wenn man die Datei "index.php" anschaut, die auf jedem C&C Server installiert ist. Ich wünschte so sehr, dass ich diese Datei hätte. Hätte man die "index.php" dann hätte man Zugriff auf die Passwörter der Opfer und könnte im Handumdrehen ein Programm schreiben, welches alle Computer entschlüsselt.

Das soll jetzt kein Aufruf zum illegalen Eindringen in fremde Computersysteme werden. Aber wenn mich einer per PM darüber informiert was für Tricks es gibt um php-Scripte auszuhebeln, dann wäre ich ihm auf ewig dankbar. Ich habe das Gefühl, dass die Erpresser sich seit ein paar Tagen über meine staubigen Sql-Injektionversuche totlachen.

Der Virus ist so ausgelegt, dass er die Daten entschlüsseln kann. Ich habe mehrmals Testdaten während einer Simulation vom Virus wieder entschlüsseln lassen. Der Grund dafür, dass bei den Leuten die tatsächlich bezahlen :-( es nicht funktioniert, liegt bei C&C-Servern oder an einem Computer dahinter. Der Virus erhält einfach kein/oder ein falsches Feedback von den C&C-Servern. Gestern Nacht konnte ich nicht ein einziges Mal einen C&C-Server dazu bringen bei mir eine Verschlüsselung zu kommandieren. Es wundert mich nicht, dass das Entschlüsseln gleich schlecht funktioniert.

Der administrative Aufwand für die Verwaltung der Passwörter ist anscheinend zu groß. Vielleicht klappt es deswegen nicht mit dem Entschlüsseln. Vielleicht sind es auch Probleme die außerhalb der Reichweite der Virenprogrammierer liegen. Möglicherweise gibt es Probleme beim verifizieren der Paycodes.

Viele Grüße
Marcu

mkinzler 7. Jun 2012 14:50

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:

Was ich schon sehr sehr weit vorne in einem Thread angesprochen habe.
Zitat:
Es ist Dumm zu glauben das der Schlüssel irgendwo zwischengelagert wird das ist einfach nur ein Witz.
Und da ist es wieder, das Wort das hier völlig falsch am Platze ist!

Zitat:

Das problem ist aber auch das es vordefinierte Ordner im BS gibt in dem alles reingeknallt wird
Niemand wird jemals erleben das ich unter ...
jemals etwas ablege das läd ja nur dazu ein Schabernack damit zu treiben.
Wäre ja auch schlimm etwas an einem Ort abzulegen, der dafür geschaffen wurde. Man legt auch kein Geld in einen Tresor oder stellt Verderbliches in den Kühlschrank, denn das lädt nur zu Schabernack ein :mrgreen:

Es gibt hier Einige, die gute Arbeit leisten um andere zu Helfen und da finde ich es unangebracht diese als "dumm" zu bezeichnen!

Zudem schützt eine Ablage an anderen Orten nicht vor Verlust, auch wenn du es durch deine Aussage suggerierst!

CAG83 7. Jun 2012 15:17

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Is halt merkwürdig, wenn die Jungs die daten verschlüsseln, einen teil des schlüssels auf nen server uploaden, und wenn einer zahlen will, passiert nix? Da hätten die die files ja auch komplett zerstören können oder so, wisst ihr was ich meine?

hab damals vor eine Woche direkt eine testmail an die im teyt angegebene mail gesendet, so auf die Art ich will zahlen mit dem Wortlaut UKash code im Betreff, da kam und komt bis heute eine not received message zurück.

BTW: Weiß jemand eine Community die mir helfen kann kann bez der jpegs? Bilder von kamera A lassen sich wunderbar wieder herstellen, Bilder von Kamera B von 100 Bildern nur 3.

Ich brauch da jemanden, de sich auskennt mit JPEG File aufbau, Header auslesen und umschreiben oder so was.

greetz und nachmals danke für die tolle rbeit hier, ich für meinen Teil sicher alle verschlüsselten Daten, samt der TEmpfiles und ein exemplar der selbstkopie des Trojaners HEX.exe und werd dann mal neu aufsetzten.
Vielleicht findet in einem Jahr mal wer einen Fehler im Viruscode oder so.


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:05 Uhr.
Seite 4 von 9   « Erste     234 56     Letzte » 

Powered by vBulletin® Copyright ©2000 - 2022, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2021 by Daniel R. Wolf