Hallo Marcu,
Das reduziert die Anzahl der verwendeten Bitkombinationen jedoch auf 32, da nur fünf Bits gesetzt sind! Interessanterweise werden damit nur gerade Zahlen erlaubt und aus dem Array L
bleiben nur noch 31 Zeichen übrig, da das kleine 's' doppelt vorkommt:
Das sind mit 5,5E44 (für nur 30 Zeichen) jedoch immer noch zu viele...

Gruß Martin

In Delphi eher so:

@freedy
Hi Freedy
Es handelt sich nicht um ein einfaches Verfahren. Bitte schau die Parametrieung der CryptApi-Aufrufe in Beitrag #83 an. Leider geht es so nicht

Dieser Thread ist schon ganz schön lang Ich habe offenbar auch etwas überlesen. Gibst du mir bitte einen Tipp welche Frage ich überlesen habe?
Die Frage wie es sich mit den Passwörtern verhält wird oft gestellt. Ich habe deswegen mal ein Bild gemalt. Schau mal im Anhang. Ich hoffe es ist so besser als viele Worte.

@Bombinho und OldGrumpy und Hofmar
Sch...ade, dass es nicht weiterführt.

@blup
Ich glaube das "xor eax,edx" ist seit Delphi 5 nicht mehr nötig. War da nicht so etwas in der Art?
Viel interessanter als eine 1:1-Übersetzung des Trojaners wäre aber zu klären, ob jemand diesen RNG einschätzen kann. Ist es möglich wegen des benutzen RNGs die Anzahl der Versuche zu verkleinern, die man man bei "Brute-Force" brauchen würde?


vg Marcu

Ne Idee bzw. ein paar Fragen bzgl. des Löschens der "Katalog Datei" -> wie wird gelöscht? Wird die Katalogdatei geschreddert? Falls nicht, könnte man sie ja auf den Rechnern wiederherstellen, oder nicht?!

Bzgl des obrigen Posts - falls nicht geschreddert wird, könnte man ein "Gegenmittel" erzeugen, was jedoch solange wirkt, bis der Virenprogrammierer Wind davon bekommt. Sollte man also iwie geheim halten. Eig. ists schon zu spät... =/

@ Marcu

ich habe eine Laienfrage:

Ist es nicht möglich den Trojaner zu manipulieren und zwar so das er euch die wichtigenen Infos in eine Datai oder auf den Drucker schreibt.

Wenn ihr den Code einfach ein wenig umschreibt und neu übersetzt und dann in einer sicheren Umgebung ausführt. Stück für Stück.

Ich bin ein Laie, aber ich würde so vorgehen, wenn es ginge. Debuggen und Breakpoints wären mir nicht genug.

Sonnenbogen

Es geht, bringt aber nicht allzuviel. An diese Informationen kommt man so oder so.

@Apthon
Es gibt genau genommen 2 Katalogdateien. Eine mit der Endung ".$02", die andere mit der Endung ".$03". In der $02 Datei steht <Originalname, Neuername, Passwort> für jede verschlüsselte Datei. In der $03-Datei steht <Originalname, Neuername> - für jede Datei - also ohne Passwort.

- Der $02-Katalog befindet sich in _unverschlüsselter_ Form immer nur im Speicher des Computers - niemals in einer Datei. Nachdem der Katalog mit dem Katalogpasswort verschlüsselt wurde wird er in der $02-Datei gespeichert. Das Katalogpasswort selbst wird nie in eine Datei abgespeichert und nach Gebrauch sogar explizit aus dem Speicher gelöscht.

- Der $03-Katalog wird so verschlüsselt und abgespeichert, dass man es leicht entschlüsseln kann. Außerdem wird diese Datei nach der Verschlüsselungsphase nur gelöscht und nicht geschreddert. Man hat gute Chancen diese Datei wieder herzustellen. Damit kann man aber keine Dateien entschlüsseln. Nur den Originalnamen kann man damit wieder herstellen.

vg

Hallo Sonnenbogen

genau das haben wir hier gemacht, aber wie Aphton es bereits sagte, es hat leider nicht viel gebracht.

Das Problem ist, dass bei jedem Opfer mit einem individuelles Passwort die Dateien verschlüsselt wurde - das Passwort aber nicht auf dem Computer des Opfers abgespeichert wurde.

Es genügt leider nicht das Programm in und auswendig zu kennen. Es gibt hier sogar mittlerweile eine ganze Reihe von Leuten die in Teilen den Virus besser und fehlerfreier schreiben könnten als der Programmierer des Trojaner es getan hat. Doch ohne das Passwort bringt das alles nichts. Man kann die Dateien nicht entschlüsseln. Selbst der Virenprogrammierer höchstpersönlich kann die Dateien nicht entschlüsseln, wenn er keinen Zugang zu den Passwörtern der Opfer hat.

Die Information die jetzt gebraucht wird steckt nicht im Virusprogramm. Es ist ein Passwort, das sich die Erpresser von den Computern der Opfer haben schicken lassen. Vielleicht schafft es die Polizei die Passwörter zu finden. Ich hoffe es sehr. Wenn so ein krimineller Programmierer keinen Fehler begeht, dann hat man leider nicht die geringste Chance. Tut mir sehr leid.

VG Marcu

Schade

Ich sehe momentan echt nur noch mehr das Hacken des CC Servers als einzige Lösung. Inwiefern das den anderen passt, ist eig. irrelevant - es ist nur eine objektive Lösung.
Und schätzungsweise wird sich die Person - ganz im Gegenteil zu dir, Marcu, wie du deine Reversing Fortschritte hier mehr oder weniger "dokumentiert" hast - hier oder wo auch immer sicher nicht melden, da sie Angst vor evt. Konsequenzen haben wird xD
Das ganze wird dann so ablaufen, dass iwann im Internet ne Riesendatenbank (oder individuelle Tabellen) mit den Passwörtern auftaucht. Wobei fraglich ist wieder, ob die Passwörter auch richtig seitens Server gespeichert wurden. Ach.. Ich sehe echt keine Chance mehr...

Btw danke Marcu. Du hast dein bestes gegeben. Wäre es aus der Seite des Clienten machbar, hättest du es geschafft