AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Verschlüsselungs-Trojaner, Hilfe benötigt

Ein Thema von Michael Habbe · begonnen am 18. Mai 2012 · letzter Beitrag vom 27. Dez 2017
Antwort Antwort
Seite 9 von 34   « Erste     789 101119     Letzte »    
Benutzerbild von Michael Habbe
Michael Habbe

Registriert seit: 10. Aug 2005
264 Beiträge
 
Turbo Delphi für Win32
 
#81

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 29. Mai 2012, 20:33
Ich habe dann jetzt mal eine Nachricht an meinen Lieblingssender 1Live (www.einslive.de) verfasst und auf die Delphi-Praxis bzw. das Trojaner-Board verwiesen, sie mögen mal eine Warnung an die Hörerschaft rausbringen.
Mal schauen.

Michael
  Mit Zitat antworten Zitat
pcnberlin

Registriert seit: 28. Mai 2012
16 Beiträge
 
#82

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 29. Mai 2012, 21:09
@Marcu:

Komme leider erst jetzt dazu zu antworten. Vielen dank für das Plugin, werde es testen. Hatte vorher ein Tool von Xylitol, das wollte aber leider bei diesem Trojaner nicht funktionieren.

Übrigens habe ich noch was zu diesem ominösen "Schlüssel" herausgefunden. Der scheint hart codiert zu sein, denn er findet sich im Memory-Dump eines infizierten Rechners, der seit Infektion kein Internet hatte. D.h. dieser Schlüssel ist eindeutig fest. Ob ich heute noch zu viel mehr komme, weiß ich leider noch nicht (hab noch was richtiges zu arbeiten, z.B. muss ein Laptop von $Kunde vom Cryptovirus befreit werden *g*).

Ah, ja und noch das: Der Trojaner schreibt, wenn ich das richtig beobachtet habe nach "C:\Documents and Settings\all users\Application Data\Microsoft\Crypto\RSA".

@marcusg:

Könnten wir die Dinger nicht alle an einen Platz laden, wo alle interessierten Zugriff haben (Dropbox / Skydrive o.ä.), sortiert nach Datum und mit MD5?

Geändert von pcnberlin (29. Mai 2012 um 21:12 Uhr) Grund: Ergänzung
  Mit Zitat antworten Zitat
Marcu

Registriert seit: 20. Mai 2012
50 Beiträge
 
#83

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 30. Mai 2012, 00:03
@Michael
Hallo Michael

bestimmt hast du schon etwas aus dem unendlich großen Giftschrank von markusg bekommen nicht wahr? Es gibt verschiedene Versionen des Trojaners. Es ist glaube ich eine gute Idee wenn wir sicherstellen, dass wir nicht an verschiedenen Versionen arbeiten. Der Trojaner an dem ich arbeite meldet an seine C&C Server die Version "1.150.1" in der http Kommunikation. Deiner auch?

So ein Mist. Ich sehe gerade, dass pcnberlin Version 1.170.1 untersucht. Das ist genau das was ich vorher geschrieben habe - der Virenprogrammierer versucht gar nicht erst etwas originelles abzuliefern. Dem liegt nichts daran als geschickter Malwareprogrammierer dazustehen und von ein paar pubertierenden Jungs verehrt zu werden. Der erreicht seine Ziele einfach indem er in schneller Folge eine Version nach der anderen in die Welt setzt und weiß dabei genau dass da kaum einer die Zeit und die Mittel hat gegen anzukommen. Der macht einfach alles mit Quantität platt.


@pcnberlin

Zitat:
Übrigens habe ich noch was zu diesem ominösen "Schlüssel" herausgefunden. Der scheint hart codiert zu sein, denn er findet sich im Memory-Dump eines infizierten Rechners, der seit Infektion kein Internet hatte.
Meinst du den Teilschlüssel
Code:
732jjdnbYYSUUW7kjksk***ndhhssh
oder
Code:
QQasd123zxc
Oder habe ich etwas übersehen und es gibt noch mehr? Neee kann doch nicht sein ... noch ein paar Nächte und ich kann den Code fast auswendig. Oder etwa doch?

Zitat:
Ah, ja und noch das: Der Trojaner schreibt, wenn ich das richtig beobachtet habe nach "C:\Documents and Settings\all users\Application Data\Microsoft\Crypto\RSA".
Das folgende ist eine 1:1 Übersetzung aus dem Trojanercode:
Delphi-Quellcode:
CryptAcquireContext(@hProv, nil, nil, PROV_RSA_FULL, CRYPT_VERIFYCONTEXT);
CryptCreateHash(hProv, CALG_MD5, 0, 0, @hash);
CryptHashData(hash, @pw[1], Length(pw), 0);
CryptDeriveKey(hProv, CALG_RC4, hash, 1, @key);
CryptDestroyHash(hash);
.
.
CryptDecrypt(key, 0, True, 0, Buffer, @len);
.
.
Ich habe die hexadezimalen Werte im Code von #41 ersetzt. Genau diese Funktionen mit genau dieser Parametrierung stehen so im Trojanercode. Dabei handelt es sich nicht um ein Public/Privatekey Verfahren. Es gibt nur ein einziges Passwort und das verschlüsselt und entschlüsselt die Daten.

Könntest du bitte nochmal nachprüfen, ob ich da recht habe? Oder findet sich ein Freiwilliger? Pcnberlin hat gerade Kundschaft und wenig Zeit.


Vergiss nicht die Seriennummer der Festplatte deines Kunden aufzuschreiben und zum Image der Festplatte zu legen, pcnberlin. Für die Entschlüsselung der Daten wird diese Nummer sehr wahrscheinlich gebraucht.


@markusg
Zitat:
... das die zb das tb nach der veröffendlichung des ersten entschlüsselungs programms lahm gelegt haben ...
Zumindest kann keiner sagen, dass nicht ausreichend gewarnt wurde

Ich bin immer noch hauptsächlich hier, weil ich ein kurzfristiges Ziel verfolge - nämlich die Dateien zu entschlüsseln. Ich programmiere zwar nicht mehr in Delphi aber lese hier trotzdem seit Jahren immer wieder mit und kenne daher viele der Programmierer bei DP und ihre Fähigkeiten. Falls ich mein Ziel erreiche, dann wird es hier schneller gelingen als auf dem TB. Solange kein Moderator den Kopf schüttelt versuch ich es hier weiter. Ich hoffe du verstehst es nicht falsch, Markus. Das TB-Team ist so dermaßen cool - so was kenne ich sonst nicht. Wie dort mit Stil und Know-How den Leuten geholfen wird ist für mich einzigartig. Aber hier finde ich Leute die ein tiefes Verständnis von der Funktionsweise von Programmen haben und einige haben sogar einen Debugger. Und das bringt mich schneller ans Ziel.

vg @all

Geändert von Marcu (30. Mai 2012 um 00:49 Uhr)
  Mit Zitat antworten Zitat
CAG83

Registriert seit: 28. Mai 2012
15 Beiträge
 
#84

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 30. Mai 2012, 00:16
Hallo Marcu.

Nur eine kurze Zwischenfrage, die Version 1.150.1 des Virus, an der du arbeitest,
diese Version nimmt auch eine Umbennenung der verschlüsselten Dateien vor, korrekt?

Geändert von CAG83 (30. Mai 2012 um 00:33 Uhr)
  Mit Zitat antworten Zitat
Marcu

Registriert seit: 20. Mai 2012
50 Beiträge
 
#85

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 30. Mai 2012, 00:40
Ja genau. und zwar nach folgendem Muster:

z.B:
shsdfgjkLKJasdHsGP

also keine Dateierweiterung mehr. Nur Groß und Kleinbuchstaben.
  Mit Zitat antworten Zitat
pcnberlin

Registriert seit: 28. Mai 2012
16 Beiträge
 
#86

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 30. Mai 2012, 00:43
@Marcu
Ja, ich meinte den Teilschlüssel mit ssh am Ende . Den findet man im entsprechenden Dump, ist also statisch.

Delphi-Quellcode:
CryptAcquireContext(@hProv, nil, nil, PROV_RSA_FULL, CRYPT_VERIFYCONTEXT);
CryptCreateHash(hProv, CALG_MD5, 0, 0, @hash);
CryptHashData(hash, @pw[1], Length(pw), 0);
CryptDeriveKey(hProv, CALG_RC4, hash, 1, @key);
CryptDestroyHash(hash);
.
.
CryptDecrypt(key, 0, True, 0, Buffer, @len);
.
.
Könntest du bitte nochmal nachprüfen, ob ich da recht habe?
Ich werde heute Nacht nicht mehr dazu kommen, den Debugger anzuwerfen und Deine Aussagen nochmal zu prüfen, das kostet leider ja auch einiges an Zeit und die Malware-Domains sind auch gerade alle down. Aber ich glaube mich zu erinnern, dass die Reihenfolge der Funktionsaufrufe sowie die Funktionen selbst passen. Aber um das jetzt noch mal genauer anzuschauen fehlt mir gerade die Zeit.

Vergiss nicht die Seriennummer der Festplatte deines Kunden aufzuschreiben und zum Image der Festplatte zu legen, pcnberlin. Für die Entschlüsselung der Daten wird diese Nummer sehr wahrscheinlich gebraucht.
War zum Glück Windows 7 & die wichtigen Daten alle auf C, so dass alles so weit gerettet werden konnte

Ich hoffe, morgen zu etwas mehr zu kommen,

lg
  Mit Zitat antworten Zitat
CAG83

Registriert seit: 28. Mai 2012
15 Beiträge
 
#87

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 30. Mai 2012, 00:46
Ok, dann sollten die Jungs im Trojaner-Board mal die Infos updaten:

http://www.trojaner-board.de/115183-...te-umlauf.html

ich werd mal dort bescheid geben, die Versionsinfos up zu daten.

Geändert von CAG83 (30. Mai 2012 um 00:53 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von Michael Habbe
Michael Habbe

Registriert seit: 10. Aug 2005
264 Beiträge
 
Turbo Delphi für Win32
 
#88

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 30. Mai 2012, 00:55
Hallo Marcu.

Ich habe eines der Teile aus dem Giftschrank mit der Größe von ca. 64 kB probiert. War zumindest nicht direkt tödlich für meine VM, dank SwitchBack. Hat aber nix mehr verschlüsselt.

Ich glaube, wir kommen dem Malwarefuzzie nur bei, indem der ganzen Welt (*mal ein bischen hochhinaus woll*) bewusst gemacht wird, nicht mehr diese Anhänge anzuklicken. Ansonsten ist er immer einen Schritt vorraus.
Und da seh ich schwarz, wenn dieses Ding erstmal als Drive-By-Download** kommen sollte.


Michael


** da durfte ich mal bei einem Kundenrechner Live-Zeuge bei sein, das geht ratz-fatz ohne das man was ausrichten kann

Geändert von Michael Habbe (30. Mai 2012 um 00:57 Uhr)
  Mit Zitat antworten Zitat
markusg

Registriert seit: 22. Mai 2012
28 Beiträge
 
#89

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 30. Mai 2012, 14:59
@Marcu
wie gesagt, es geht mir nur darum, dass wenn diese leute das mitbekommen, sie schnell ihren code anpassen können und damit die arbeit dann früher zu nichte gemacht wird, als wenn ein tool rausgebracht wird und dann erst die malware angepasst werden kann.
und wie gesagt um mögliche probleme für dieses forum.
ich wollte damit weder ein forum schlechter, noch eines besser machen, ich wollte nur eine alternative anbieten, wo man sich ungestört beraten kann, da wir das intern machen, wo keiner mit lesen kann.
wegen der versionsnummern, ich glaube die sind im laufe der entwicklung eher willkürlich geworden.
  Mit Zitat antworten Zitat
CAG83

Registriert seit: 28. Mai 2012
15 Beiträge
 
#90

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 31. Mai 2012, 21:47
Hat schon jemand Überlegungen angestellt ich die Richtung, dass ev der neue Dateiname der schlüssel einer jeden datei sein könnte? Ich glaube fast nicht, dass das alles random ist.
Zumal kommen lediglich gewisse Buchstaben, und nicht alle vor, auch sind keine zahlen enthalten.
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 9 von 34   « Erste     789 101119     Letzte »    

 

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 05:17 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz