AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Verschlüsselungs-Trojaner, Hilfe benötigt

Ein Thema von Michael Habbe · begonnen am 18. Mai 2012 · letzter Beitrag vom 27. Dez 2017
Antwort Antwort
CAG83

Registriert seit: 28. Mai 2012
15 Beiträge
 
#1

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 7. Jun 2012, 13:52
Bez verschlüsselter jpgs scheinen einige repair tools erfolgreich zu sein, das zeugs wieder herstellen zu können.
  Mit Zitat antworten Zitat
highend

Registriert seit: 7. Jun 2012
3 Beiträge
 
#2

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 7. Jun 2012, 14:02
Zitat:
Bez verschlüsselter jpgs scheinen einige repair tools erfolgreich zu sein, das zeugs wieder herstellen zu können
Ja, funktioniert aber nur halbwegs praktikabel bei Bild- (die auch noch groß genug sein müssen) oder Musikdateien oder generell solchen Dateitypen, die trotz Zerstörung des Headers und eines geringen Teils der Nutzdaten noch im Großen und Ganzen lesbar gemacht werden können (kann z.B. auch auf Archive wie .zip / .rar usw. zutreffen).

Andere Arten von Dateien sind unwiederbringlich verloren oder so stark zerstört, dass eine vernünftige Rekonstruktion ausfällt.
  Mit Zitat antworten Zitat
Marcu

Registriert seit: 20. Mai 2012
50 Beiträge
 
#3

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 7. Jun 2012, 14:27
Hallo TBUndertaker

Zitat:
Ist es nur ein Passwort für Alle? Gibt es jeden Tag ein neues Password? Gibt es für jeden Rechner eins?
Ich habe es missverständlich formuliert.

Der Virus bestimmt per Zufall ein individuelles und zufälliges Passwort auf jedem PC und verschlüsselt damit eine Datei die gebraucht wird um alle verschlüsselten Dateien zu entschlüsseln. Der Ablauf ist folgendermaßen:

(Für Leute mit Debugger: Sucht die Funktion bei der eine lokale Variable mit folgendem String initialisiert wird "cmd=lfk&ldn=%u&stat=CRA&rev=%s&data=". Oder sucht die Funktion in der GetLogicalDrivesStringA aufgerufen wird.)

Code:
procedure BuildCatalogFiles ".$02" und ".$03" and EncryptUserfiles

  while Busyflag do
    sleep(1000)
  Busyflag:=True

  Download $Desk-File;

  l:=RandomNumber
  CatalogPassword:=RandomString(l) //l ist Länge des Passworts
  PasswordCopy:=CatalogPassword;

  //Das Passwort für die folgende Verschlüsselung ist leicht zu errechnen
  EnryptWithCrypdllMD5(PasswordCopy)

  //Die folgende Verschlüsselung nenne ich Verschlüsselung. So Leute wie Bruce Schneier nennen so etwas wahrscheinlich "alberne Spielerei". HomeBrewCrypt ist lediglich ein etwas kompliziertere XOR-Verschlüsselung. Man kann in Delphi einfach die disassemblierte Funktion per Cut&Paste zwischen ein "asm" und "end" kopieren. Nach einigen Anpassungen ist dann "HomebrewCrypt" einsatzfähig - ohne anstrengende Rückübersetzung.
 
  EncryptWithHomeBrewCrypt(PasswordCopy);

  UrlEncode(PasswordCopy);

  // CatalogPasswort wird mit einen ID an einen C&C-Server geschickt.ID=HarddriveSerialnumber+Computername
  Done:=SendViaInternetToC&C-Server(HarddriveSerialnumber+Computername,CatalogPassword)
 
  if Done then
  begin
    Catalog$02=GlobalAlloc
    Catalog$03=GlobalAlloc
 
    Drives:=GetLogicalDrivesStringA
    do
       D:=FirstDrive(Drives)  
     
       CreateThread( BuildCatalogEntriesForDrive(D) )
             
       Drives:=Drives-D
    until Empty(Drives);
   
    sleep(3000)
    do
      sleep(1000)
   until all Threads finished

   // Hier kommt das CatalogPasswort zum Einsatz. Nach dem ersten Ausschalten des  Computers
   // ist das Password allein in den Händen der Erpresser.
   EncryptAndSaveToFile (Catalog$02,CatalogPassword)
   
   EncryptAndSaveToFile (Catalog$03,HarddriveSerialnumber+Computername)
   
   EncryptUserFiles(Catalog$02,Catalog$03);
   
  end;

  Busyflag=False;
 
end.
Zitat:
Ich stelle mir gerade vor, welchen administrativen Aufwand die Verwaltung der Passworddatenbank bedeutet.
Genau damit hatte ich auch ein Problem. Bevor ich den Code reversed habe dachte ich noch an eine Art Hashfunktion die billig auf den C&C-Servern zu implementieren ist und aus einer ID ein Passwort generiert. Diese Vermutung war aber dann schnell dahin.
Es ist tatsächlich so, dass ein Passwortbestand von den Erpressern gepflegt wird. In diesem Datenbestand ist für jeden verschlüsselten Computer eine ID (Seriennummer+Computername) und das CatalogPasswort eingetragen.

Ob der Datenbestand in einer Textdatei oder in einer Datenbank oder in einer Cloud steckt kann man rausfinden wenn man die Datei "index.php" anschaut, die auf jedem C&C Server installiert ist. Ich wünschte so sehr, dass ich diese Datei hätte. Hätte man die "index.php" dann hätte man Zugriff auf die Passwörter der Opfer und könnte im Handumdrehen ein Programm schreiben, welches alle Computer entschlüsselt.

Das soll jetzt kein Aufruf zum illegalen Eindringen in fremde Computersysteme werden. Aber wenn mich einer per PM darüber informiert was für Tricks es gibt um php-Scripte auszuhebeln, dann wäre ich ihm auf ewig dankbar. Ich habe das Gefühl, dass die Erpresser sich seit ein paar Tagen über meine staubigen Sql-Injektionversuche totlachen.

Der Virus ist so ausgelegt, dass er die Daten entschlüsseln kann. Ich habe mehrmals Testdaten während einer Simulation vom Virus wieder entschlüsseln lassen. Der Grund dafür, dass bei den Leuten die tatsächlich bezahlen es nicht funktioniert, liegt bei C&C-Servern oder an einem Computer dahinter. Der Virus erhält einfach kein/oder ein falsches Feedback von den C&C-Servern. Gestern Nacht konnte ich nicht ein einziges Mal einen C&C-Server dazu bringen bei mir eine Verschlüsselung zu kommandieren. Es wundert mich nicht, dass das Entschlüsseln gleich schlecht funktioniert.

Der administrative Aufwand für die Verwaltung der Passwörter ist anscheinend zu groß. Vielleicht klappt es deswegen nicht mit dem Entschlüsseln. Vielleicht sind es auch Probleme die außerhalb der Reichweite der Virenprogrammierer liegen. Möglicherweise gibt es Probleme beim verifizieren der Paycodes.

Viele Grüße
Marcu
  Mit Zitat antworten Zitat
mkinzler
(Moderator)

Registriert seit: 9. Dez 2005
Ort: Heilbronn
39.879 Beiträge
 
Delphi 11 Alexandria
 
#4

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 7. Jun 2012, 14:50
Zitat:
Was ich schon sehr sehr weit vorne in einem Thread angesprochen habe.
Zitat:
Es ist Dumm zu glauben das der Schlüssel irgendwo zwischengelagert wird das ist einfach nur ein Witz.
Und da ist es wieder, das Wort das hier völlig falsch am Platze ist!

Zitat:
Das problem ist aber auch das es vordefinierte Ordner im BS gibt in dem alles reingeknallt wird
Niemand wird jemals erleben das ich unter ...
jemals etwas ablege das läd ja nur dazu ein Schabernack damit zu treiben.
Wäre ja auch schlimm etwas an einem Ort abzulegen, der dafür geschaffen wurde. Man legt auch kein Geld in einen Tresor oder stellt Verderbliches in den Kühlschrank, denn das lädt nur zu Schabernack ein

Es gibt hier Einige, die gute Arbeit leisten um andere zu Helfen und da finde ich es unangebracht diese als "dumm" zu bezeichnen!

Zudem schützt eine Ablage an anderen Orten nicht vor Verlust, auch wenn du es durch deine Aussage suggerierst!
Markus Kinzler
  Mit Zitat antworten Zitat
CAG83

Registriert seit: 28. Mai 2012
15 Beiträge
 
#5

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 7. Jun 2012, 15:17
Is halt merkwürdig, wenn die Jungs die daten verschlüsseln, einen teil des schlüssels auf nen server uploaden, und wenn einer zahlen will, passiert nix? Da hätten die die files ja auch komplett zerstören können oder so, wisst ihr was ich meine?

hab damals vor eine Woche direkt eine testmail an die im teyt angegebene mail gesendet, so auf die Art ich will zahlen mit dem Wortlaut UKash code im Betreff, da kam und komt bis heute eine not received message zurück.

BTW: Weiß jemand eine Community die mir helfen kann kann bez der jpegs? Bilder von kamera A lassen sich wunderbar wieder herstellen, Bilder von Kamera B von 100 Bildern nur 3.

Ich brauch da jemanden, de sich auskennt mit JPEG File aufbau, Header auslesen und umschreiben oder so was.

greetz und nachmals danke für die tolle rbeit hier, ich für meinen Teil sicher alle verschlüsselten Daten, samt der TEmpfiles und ein exemplar der selbstkopie des Trojaners HEX.exe und werd dann mal neu aufsetzten.
Vielleicht findet in einem Jahr mal wer einen Fehler im Viruscode oder so.
  Mit Zitat antworten Zitat
Daniel
(Co-Admin)

Registriert seit: 30. Mai 2002
Ort: Hamburg
13.920 Beiträge
 
Delphi 10.4 Sydney
 
#6

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 7. Jun 2012, 15:21
Is halt merkwürdig, wenn die Jungs die daten verschlüsseln, einen teil des schlüssels auf nen server uploaden, und wenn einer zahlen will, passiert nix? Da hätten die die files ja auch komplett zerstören können oder so, wisst ihr was ich meine?
Da kann man als Außensteher wohl nur spekulieren. Wäre nicht das erste IT-Projekt, das nicht vollständig zu seinem Ende gebracht wird. Und von der Logistik her scheint mir der Rückweg des Schlüssels fast die größere Herausforderung - zumindest dann, wenn man wirklich anonym bleiben will (was in dem Fall aus Sicht der Trojaner-Entwickler wohl ratsam wäre).
Daniel R. Wolf
mit Grüßen aus Hamburg
  Mit Zitat antworten Zitat
EWeiss
(Gast)

n/a Beiträge
 
#7

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 7. Jun 2012, 16:50
Nicht desto trotz
Die ersten die ich sehe die werbung mit dem Trojaner (locked-version) machen und Geld damit verdienen wollen!
50 - 100 Euro..

Link Gelöcht.. anscheinend macht man hier alles falsch egal was man postet
Siehe nächster Beitrag

gruss

Geändert von EWeiss ( 7. Jun 2012 um 17:24 Uhr)
  Mit Zitat antworten Zitat
markusg

Registriert seit: 22. Mai 2012
28 Beiträge
 
#8

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 7. Jun 2012, 17:11
naja der eintrag is ja auch schon ein bissel älter, und es geht da um die locked.name.endung.zufalls endung
stimmt zwar das sie das anpassen sollten, aber welche firma sagt schon gern, "wir sind 29 %ig sicher, dass wir ihnen behilflich sein können"
  Mit Zitat antworten Zitat
Antwort Antwort

 

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 00:36 Uhr.
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz