Einzelnen Beitrag anzeigen

Marcu

Registriert seit: 20. Mai 2012
50 Beiträge
 
#41

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 24. Mai 2012, 08:48
Ich weiß noch nicht ob die Entschlüsselung klappen wird weil ich die Herkunft des Schlüssels noch nicht kenne. Aber zumindest weiß ich schonmal wie die Routine ausschaut welche die Daten entschlüsselt:

Delphi-Quellcode:
procedure PermuteSomeBytes(Buffer: pbyte; BufLen: word);
var
  p: pchar;
  cnt: Integer;
  c1, c2: char;
begin
  cnt := BufLen shr 4;
  p := pchar(Buffer);
  while (cnt <> 0) do
  begin
    c1 := p^;
    p^ := (p + 8)^;
    (p + 8)^ := c1;

    c2 := (p + 4)^;
    (p + 4)^ := (p + 12)^;
    (p + 12)^ := c2;

    p := p + 16;

    dec(cnt);
  end;
end;

procedure DecryptFile(const SourceFileName, DestinationFileName,
  Password: string);

const
  BUFFERSIZE = $3000;
  // ist das wirklich eine Konstante oder wird PARTOFPASSWORD vom Virenloader
  // in den Virencode gepatcht ?
  PARTOFPASSWORD = '732jjdnbYYSUUW7kjksk***ndhhssh';

var
  hProv: HCRYPTPROV;
  hash: HCRYPTHASH;
  key: HCRYPTKEY;
  pw:string;
  Buffer: PByte;
  len: dWord;
  fsIn, fsOut: TFileStream;
begin
  pw:= Password + PartOfPassword;

  if CryptAcquireContext(@hProv, nil, nil, PROV_RSA_FULL, $F0000000) then
  begin
    CryptCreateHash(hProv, $8003, 0, 0, @hash);
    CryptHashData(hash, @pw[1], Length(pw), 0);
    CryptDeriveKey(hProv, $6801, hash, 1, @key);
    CryptDestroyHash(hash);

    fsIn := TFileStream.Create(SourceFileName, fmOpenRead or fmShareDenyWrite);
    fsOut := TFileStream.Create(DestinationFileName, fmCreate);
    try
      GetMem(Buffer, BUFFERSIZE);
      if not fsIn.Size = 0 then
      begin
        len := fsIn.Read(Buffer^, BUFFERSIZE);

        CryptDecrypt(key, 0, True, 0, Buffer, @len);
        // nach dem entschlüsseln wird in PermuteSomeBytes
        // das vertauschungen einiger Bytes rückgängig gemacht
        PermuteSomeBytes(Buffer, len);

        fsOut.Write(Buffer^, len);
      end;
      FreeMem(Buffer, BUFFERSIZE);
    finally
      fsIn.Free;
      fsOut.Free;
    end;
    CryptReleaseContext(hProv, 0);
  end;
end;
Ich will Niemanden vorreilig Hoffnung machen, aber wenn ich eine verschlüsselte Datei hätte würde ich die keinesfalls wegwerfen. Heute oder morgen nach der Arbeit setzte ich mich dran und werde rausfinden wo der Schlüssel herkommt. Danach gibt es eine konkrete Aussage von mir.

Viele Grüße
Marcus

Geändert von Marcu (24. Mai 2012 um 09:21 Uhr)
  Mit Zitat antworten Zitat