Verschlüsselungs-Trojaner, Hilfe benötigt

**pcnberlin**

@Marcu
Ja, ich meinte den Teilschlüssel mit ssh am Ende

. Den findet man im entsprechenden Dump, ist also statisch.

Delphi-Quellcode:

			CryptAcquireContext(@hProv, nil, nil, PROV_RSA_FULL, CRYPT_VERIFYCONTEXT);

CryptCreateHash(hProv, CALG_MD5, 0, 0, @hash);

CryptHashData(hash, @pw[1], Length(pw), 0);

CryptDeriveKey(hProv, CALG_RC4, hash, 1, @key);

CryptDestroyHash(hash);

. 

.

CryptDecrypt(key, 0, True, 0, Buffer, @len);

.

.

Könntest du bitte

nochmal nachprüfen, ob ich da recht habe?

Ich werde heute Nacht nicht mehr dazu kommen, den Debugger anzuwerfen und Deine Aussagen nochmal zu prüfen, das kostet leider ja auch einiges an Zeit und die Malware-Domains sind auch gerade alle down. Aber ich glaube mich zu erinnern, dass die Reihenfolge der Funktionsaufrufe sowie die Funktionen selbst passen. Aber um das jetzt noch mal genauer anzuschauen fehlt mir gerade die Zeit.

Zitat von Marcu:

Vergiss nicht die Seriennummer der Festplatte deines Kunden aufzuschreiben und zum Image der Festplatte zu legen, pcnberlin. Für die Entschlüsselung der Daten wird diese Nummer sehr wahrscheinlich gebraucht.

War zum Glück Windows 7 & die wichtigen Daten alle auf C, so dass alles so weit gerettet werden konnte

Ich hoffe, morgen zu etwas mehr zu kommen,

lg

Verschlüsselungs-Trojaner, Hilfe benötigt

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

Stichworte

Forumregeln