AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Verschlüsselungs-Trojaner, Hilfe benötigt

Ein Thema von Michael Habbe · begonnen am 18. Mai 2012 · letzter Beitrag vom 27. Dez 2017
Antwort Antwort
Seite 2 von 34     12 3412     Letzte »    
Benutzerbild von cookie22
cookie22

Registriert seit: 28. Jun 2006
Ort: Düsseldorf
936 Beiträge
 
Delphi XE2 Professional
 
#11

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 21. Mai 2012, 05:49
...Das problem ist , dass die verschluesselung und der virus zunehmend komplexer werden. In der Zahlungsaufforderung ist jetzt von 256bit Aes die Rede. Wenn das kein Bluff ist dann sieht es finster aus. ...
Kommt drauf an, wie der Schlüssel erzeugt wird.
Gruß
Cookie
  Mit Zitat antworten Zitat
Popov
(Gast)

n/a Beiträge
 
#12

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 21. Mai 2012, 06:39
Ich bin auch der Meinung, dass es einen Schlüssel gibt. Es ist nur Business. Man kann einem so einen Virus 100 mal auf den Hals schicken und 100 mal kassieren. Wenn man aber den Kunden beim ersten mal vergrault, kann man nur ein mal kassieren.
  Mit Zitat antworten Zitat
Marcu

Registriert seit: 20. Mai 2012
50 Beiträge
 
#13

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 21. Mai 2012, 09:06
@sx2008
Sandboxie! Hatte ich völlig vergessen. Werde ich heute abend sofort ausprobieren. Danke


@cookie22
mittlerweile habe ich Referencen zu Microsofts CryptApi gefunden. CryptAquireContextA, CryptGetKey, CryptImportKey, usw.. . AES-Verschluesselung ist anscheinend doch kein Bluff. Und viel falsch machen kann man bei der CryptApi nicht

@Popov
>Man kann einem so einen Virus 100 mal auf den Hals schicken und 100 mal kassieren.

Eigentlich sollte man glauben, dass es höchstens 1mal klappt jemand reinzulegen. Aber du hast recht, ich habe mittlerweile jemand kennengelernt der sich innerhalb von 3 Tagen 2 Computer mit diesem Virus kaputt gemacht hat. Die korrekte Nennung des Vor und Nachnamnes in den Mails ist neu (zumindest für mich) und verleitet schnell zum klicken.
  Mit Zitat antworten Zitat
Benutzerbild von BUG
BUG

Registriert seit: 4. Dez 2003
Ort: Cottbus
2.094 Beiträge
 
#14

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 21. Mai 2012, 09:58
mittlerweile habe ich Referencen zu Microsofts CryptApi gefunden. CryptAquireContextA, CryptGetKey, CryptImportKey, usw.. . AES-Verschluesselung ist anscheinend doch kein Bluff. Und viel falsch machen kann man bei der CryptApi nicht
Wenn das nicht nur als falsche Fährte eingebaut ist, dann ist das doch nicht so schlecht.
Irgendwo muss der Schlüssel doch an die CryptApi übergeben werden.

Unmöglich wird das erst, wenn ein zufälliger Schlüssel generiert wird, der nicht mehr auf dem Rechner ist (unwahrscheinlich), oder wenn asymetrische Verschlüsselung genutzt wird.
Btw: Die Dateien sind genauso groß wie vorher?
  Mit Zitat antworten Zitat
Marcu

Registriert seit: 20. Mai 2012
50 Beiträge
 
#15

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 21. Mai 2012, 11:03
Hi Bug,

kein zufälliger Key. Das wäre zu aufwendig. Aber man könnte z.B den Username an den Server geben und damit irgendeine Keygeneratorfunktion füttern. Dann diesen Key an den Virus zurückgeben der damit Dateien per AES verschlüsselt.
Wenn man einen Paycode eingibt dann prüft die Gegenstelle anscheinend tatsächlich ob der Paycode korrekt ist - der Viruscode wartet auf das Ergebniss. Den Schlüssel bekommt man also nur wieder zu gesendet, wenn man die Paycodeprüfung besteht.

Verschlüsselt werden nur die ersten paar tausend Bytes einer Datei. Die Datei ändert Ihre Größe nicht. Das weiß ich aber nur vom Hörensagen, da dieser verflixte Virus bei mir immernoch nichts verschlüsselt.
  Mit Zitat antworten Zitat
WernerM

Registriert seit: 21. Mai 2012
4 Beiträge
 
#16

Bisherige Erkenntnisse zum Trojaner

  Alt 21. Mai 2012, 13:06
Hier meine bisherigen Erkenntnisse zum Trojaner:


Sorry an die Nicht-Computerleute wenn es etwas technisch wird.

Einfallstor war Rechnung2012[1].zip.vir md5=a385a8b3c3445a52400be54a1bb54e6e
Inhalt des Zip: Rechnung2012.pif 65536 Bytes md5=be4dd0c9fe78b6a3c3bf4f2750d52d6e
Weitere gemeldete datei gleichen Inhalts: nqqfoifwyj.pre.vir md5=be4dd0c9fe78b6a3c3bf4f2750d52d6e

Trojaner beseitigt mit Desinfec't 2011 mit allen Updates vom 18.5. + Systemwiederherstellung
Erkennung durch:
Avira: TR/Crypt.Gypikon.D.1 (nicht bei jedem Lauf erkannt!!)
Kaspersky: Trojan-Ransom.Win32.Gimemo.slv
ClamAV: W32.Trojan.Ransom-253
BitDefender: Trojan.Generic.KDV.625143
Windows Defender Offline: Trojan:Win32/Matsnu (Signaturen vom 19.5.12)

Avast meldet "Keine Bedrohung gefunden" (Signaturen vers 120515-1)

Wiederherstellen der zerstörten Dateien bisher erfolglos.

Beobachtungen:
Befall vermutlich nicht per Mail, sondern durch Besuch einer Webseite.
Der Trojaner ist höchstwahrscheinlich am Mi 16.5.2012 morgens um 7 Uhr auf den Win7-PC gekommen.
Darauf deutet das Zipfile in den Temporary Internet Files hin.
Zeit der Verschlüsselung vermutlich Mi 16.5.2012 am Vormittag.
Spricht gegen die Nur-Donnerstag-Theorie im delphipraxis.net-Forum (*).
Beschreibung der Benutzerin: Unbekannte Mails erhalten, aber nie geöffnet.
Seit ca. 9. Mai gelegentlich Excel-Files mit unsinnigem Inhalt, Rechner langsam, ein Mal Aufforderung, Excel upzudaten.
Zeitstempel der Verschlüsselten Directories: 16. Mai ca 8 Uhr.
16. Mai ca. 11 Uhr: Entdeckung, dass alle Dateien verschlüsselt sind, und Zahlungsaufforderung und Eingabe einer Fantasienummer.
Betriebssystem ist Win7 Home Premium mit Patches bis 8.9.2011, kein SP1

Dateinamen werden zu z.B. gursjjxrLNvfJTolaATNf
Datum und Länge der Originaldatei bleiben erhalten, nachgewiesen durch vereinzelte Backups von Benutzerdateien.
Mit Hexdump keine offensichtliche Trivialcodierung zu erkennen, ausser dass nach Hex3000 (12288) nicht mehr verschlüsselt wird.

Verschlüsselt D:/RECOVER, D:/ und vor Allem C:/Users incl. Subdirs
Einige Dateiendungen werden wohl ausgenommen, z.B. *.txt
Seltsam, bei einer absichtlichen Infizierung mit dem Trojaner wurde c:\Windosw\system32\taskmgr.exe gelöscht! Nicht reproduzierbar.
MP3s sind durch Umbennennen zu retten, denn die ersten 12 KB sind (fast) unbedeutend.
Office-Files sind eventuelle zu retten mit http://support.microsoft.com/kb/826864/de/

Testweise Wiederverseuchung, als Versuch, die Verschlüsselung an bekannten Files zu beobachten:
Befall reproduzierbar: Zahlungsaufforderung (wie im http://www.heise.de/security/meldung...n-1573945.html)
und bei falscher Nummerneingabe schwarzer Bildschirm mit der Meldung "Vielen Dank für die Zahlung ... Entschlüsselung ... mehrere Stunden ..."
Verschlüsselung nicht reproduzierbar. Es wurden keine weiteren Files verschlüsselt.
Randbedingung: keine Internetverbindung (zu riskant da mein Samba-Server verseucht werden könnte und mein Schtott-Firewallrouter keine DMZ hinbekommt).
Strg-Alt-Entf / Taskmanager / Datei / Neuer Task / explorer.exe:
Taskleiste kommt wieder, aber jedes geöffnete Fenster außer Taskmanager wird schwarz überdeckt. Systemwiederherstellung beseitigt das Problem.
Wiederverseuchung gelingt nur, wenn Rechnung2012.pif als exe umbenannt in einem schreibbaren Verzeichnis gestartet wird. Rechnung2012.pif löscht sich dabei selbst.

Fazit: Virenschutzprogramme bieten wohl keinen Schutz, einige erkennen die Bedrohung nicht einmal hinterher.
Einzige Rettung (außer Backup) wäre gewesen, beim Absturz nach öffnen des ZIPs oder sonstigem Ungewöhnlichn Verhalten der Rechnung den PC nicht mehr hochzufahren, sondern sofort Fachleute hinzuzuziehen. Aber wer macht das schon?


Meine Idee zum weiteren Vorgehen - leider fehlen mir die Mittel dazu: (Liest das hier jemand vom CCC oder von den Antiviren-Herstellern?)
1. Statisches reverse engineering des Trojaners,
2. Virus auf sauberes Testsystem loslassen und Netz-Aktivität beobachten, ob Code oder Keys nachgeladen werden.
Verschlüsselung live beobachten. Mit Debugger oder falls der Trojaner das merkt per Hardware. Ich habe schon live Leute gesehen die einen Logic-Analyzer an den Rechner gehängt haben und so einen Dongle-Code geknackt haben, so etwas geht wenn die Debugger und Hardwaretools zur Verfügung stehen - habe ich aber leider nicht.
Der Trojaner schafft die Verschlüsselung, also läuft die lokal am Rechner ab und muss zu beobachten sein.
3. Wenn es nicht bösartigerweise nur Zufallszahlen sind, woher kommt der seed der Codierung? Laut (*) werden gleichartige Dateien jedesmal anders verschlüsselt. Es ist unwahrscheinlich dass für jede Datei
ein eigener Schlüssel aus dem Netz geholt wird. Ich würde den seed lokal erzeugen, z.B. als hash aus Dateiname, Datum o.Ä.
4. Damit kann auch der Verdacht erhärtet / widerlegt werden, dass der Trojaner Zufallsdaten schreibt und gar nicht codiert.

Restaurieren gelöschter Dateien mit foremost unter Linux hat auch nicht viel gebracht. Die Hoffnung, dass die gelöschten Originaldateien vor Befall des Trojaners noch auffindbar sind hat nicht erfüllt.
Es gibt leider kaum Backups und keine Widerherstellungspunkte für die Benutzerdaten. Nicht schimpfen, ist nicht mein PC.


Google.de + metager.de mit der MD5 ergibt nur 2 nichtssagende Treffer.
Links zum Thema:
(*) hxx://www.delphipraxis.net/168380-verschluesselungs-trojaner-hilfe-benoetigt.html
hxxp://www.trojaner-board.de/115183-neue-verschluesselungs-trojaner-variante-umlauf-9.html
Windows Defender offline zeigt einen Link, der auch nichts neues bringt: hxxp://go.microsoft.com/fwlink/?linkid=142185&name=Trojan:Win32/Matsnu&threadid=2147652753




Nur der Vollständigkeit halber: weitere malware auf dem PC, die vielleicht ein Einfallstor war (eher unwahrscheinlich):
TR/Winlock.FB
Trojan-Downloader.Java.Agent.gr (aka Java.Trojan.Exploit.Bytverify.N)
EXP/JAVA.Niabil.Gen
PUA.Packed.Armadillo-1
PUA.Crypt.ScriptCryptor
PUA.Packed.PECompact-1
PUA.JS.Obfus-7
dazu noch einige Alarme bei PDFs


Vielleicht hilft es ja bei Gegenmaßnahmen.

mfg
Werner
  Mit Zitat antworten Zitat
UliBru

Registriert seit: 10. Mai 2010
155 Beiträge
 
Delphi 11 Alexandria
 
#17

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 21. Mai 2012, 13:46
Wie kommt die Erweiterung .vir zustande?

Bei der Erweiterung .pif ist ja festzustellen, dass Windows dieselbige ja standardmässig ausblendet. Ein Doppelklick auf so eine Datei im Email-Anhang kann Böses bewirken. Und man sieht ja nicht, dass es eine pif-Datei ist. Wenn sie xyz.pdf.pif heisst, sieht man eben xyz.pdf.

Gegenmassnahme: mit dem Registrierungseditor unter Computer\HKEY_CLASSES_ROOT\piffile den Schlüssel NeverShowExt in AlwaysShowExt umbenamsen.
Er wollte so richtig in Delphi einsteigen. Nun steckt er ganz tief drin ...
  Mit Zitat antworten Zitat
Benutzerbild von Luckie
Luckie

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#18

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 21. Mai 2012, 14:09
Und warum nicht gleich die entsprechende Option für alle Dateitypen in den Optionen des Explorers aktivieren?
Michael
Ein Teil meines Codes würde euch verunsichern.
  Mit Zitat antworten Zitat
Benutzerbild von Dalai
Dalai
Online

Registriert seit: 9. Apr 2006
1.682 Beiträge
 
Delphi 5 Professional
 
#19

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 21. Mai 2012, 14:18
Weil die Extension von PIFs - genau wie die von LNKs - trotzdem ausgeblendet bleiben, auch wenn sonst alle Extensions angezeigt werden.

MfG Dalai
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.063 Beiträge
 
Delphi 12 Athens
 
#20

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 21. Mai 2012, 15:43
Wenn NeverShowExt vorhanden, dann wird nie angezeigt, egal was in den Exploreroptionen steht.
Wenn AlwaysShowExt vorhanden, dann wird immer angezeigt, egal was in den Exploreroptionen steht.
Ansonsten das was in den Exploreroptionen steht.

Mein Thunderbird zeigt die Endungen aber immer an ... den interessiert die Explorereinstellungen nicht.
Und beim Speichern zeigt auch der Feuerfuchs alle endungen an.
Ansonsten laß ich PIF und Co. ausgeblendet, denn sonst sieht es auf dem Desktop ganz schlimm aus.
Neuste Erkenntnis:
Seit Pos einen dritten Parameter hat,
wird PoSex im Delphi viel seltener praktiziert.

Geändert von himitsu (21. Mai 2012 um 15:47 Uhr)
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 2 von 34     12 3412     Letzte »    

 

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 21:31 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz