AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Verschlüsselungs-Trojaner, Hilfe benötigt

Ein Thema von Michael Habbe · begonnen am 18. Mai 2012 · letzter Beitrag vom 27. Dez 2017
Antwort Antwort
Seite 19 von 34   « Erste     9171819 202129     Letzte »    
HofMar

Registriert seit: 9. Jun 2012
5 Beiträge
 
#181

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 11. Jun 2012, 13:42
Hallo Marcu,
Ich habe nochmal im Virencode nachgeschaut um sicher zu gehen, sogar den Opcode habe ich nachgeschaut - da steht tatsächlich "AND $3E". Sehr merkwürdig. Ist wohl ein Fehler des Programmierers. Schade das der nicht größere Auswirkungen hat.
Das reduziert die Anzahl der verwendeten Bitkombinationen jedoch auf 32, da nur fünf Bits gesetzt sind! Interessanterweise werden damit nur gerade Zahlen erlaubt und aus dem Array L
Code:
const
  L: array[0..75] of Char = (
    'q', 'w', 'e', 'r', 't', 'y', 'u', 'i', 'o', 'p', 'a', 's', 'd', 'f', 'g',
    'h', 'j', 'k', 'l', 'z', 'x', 'c', 'v', 'b', 'n', 'm', 'p', 'l', 'f', 'y',
    'r', 'n', 'y', 'd', 's', 'j', 's', 'd', 'Q', 'W', 'E', 'R', 'T', 'Y', 'U',
    'I', 'O', 'P', 'A', 'S', 'D', 'F', 'G', 'H', 'J', 'K', 'L', 'Z', 'X', 'C',
     'V', 'B', 'N', 'M', 'P', 'L', 'F', 'Y', 'R', 'N', 'Y', 'D', 'S', 'J', 'S',
    'D'
    );
bleiben nur noch 31 Zeichen übrig, da das kleine 's' doppelt vorkommt:
Code:
 'q', 'e', 't', 'u', 'o', 'a', 'd', 'g', 'j', 'l', 'x', 'v', 'n', 'p', 'f', 'r',
 'y', 's', 'Q', 'E', 'T', 'U', 'O', 'A', 'D', 'G', 'J', 'L', 'X', 'V', 'N'
Das sind mit 5,5E44 (für nur 30 Zeichen) jedoch immer noch zu viele...

Gruß Martin
  Mit Zitat antworten Zitat
Blup

Registriert seit: 7. Aug 2008
Ort: Brandenburg
1.463 Beiträge
 
Delphi 12 Athens
 
#182

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 11. Jun 2012, 13:48
Der RNG sieht in Delphi so aus: (Danke an Yvonne fürs schreiben und recherchieren )
In Delphi eher so:
Delphi-Quellcode:
function GetRandomNumber: DWORD;
// http://www.cems.uwe.ac.uk/~irjohnso/coursenotes/ufeen8-15-m/p1192-parkmiller.pdf
// Seite 1195 (function Random Integer)
  function RDTSC: DWORD; register;
  asm
   dw $310F // = rdtsc
   xor eax, edx
  end;

const
  a = 16807;
  q = 127773; (* 2147483647 div a *)
  r = 2836;
var
  t, hi, lo: DWORD;
begin
  t := RDTSC;
  hi := t div q;
  lo := t mod r;
  Result := (a * lo - r * hi) mod 100000; (* $186A0 *)
end;
  Mit Zitat antworten Zitat
Marcu

Registriert seit: 20. Mai 2012
50 Beiträge
 
#183

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 11. Jun 2012, 18:48
@freedy
Hi Freedy
Zitat:
Sollte es sich um relative einfache Verschlüsselungsmechanismen handeln, könnten wir doch anhand des möglichen Alphabets rückrechnen.
Es handelt sich nicht um ein einfaches Verfahren. Bitte schau die Parametrieung der CryptApi-Aufrufe in Beitrag #83 an. Leider geht es so nicht

Zitat:
Geklärt sind m. A. auch noch nicht die Punkte, ob wirklich für jede Datei andere Passwörter ermittelt werden. (Oder habe ich das auch überlesen?) Auch andere Fragen aus dem Thread sind noch ungeklärt.
Dieser Thread ist schon ganz schön lang Ich habe offenbar auch etwas überlesen. Gibst du mir bitte einen Tipp welche Frage ich überlesen habe?
Die Frage wie es sich mit den Passwörtern verhält wird oft gestellt. Ich habe deswegen mal ein Bild gemalt. Schau mal im Anhang. Ich hoffe es ist so besser als viele Worte.

@Bombinho und OldGrumpy und Hofmar
Sch...ade, dass es nicht weiterführt.

@blup
Ich glaube das "xor eax,edx" ist seit Delphi 5 nicht mehr nötig. War da nicht so etwas in der Art?
Viel interessanter als eine 1:1-Übersetzung des Trojaners wäre aber zu klären, ob jemand diesen RNG einschätzen kann. Ist es möglich wegen des benutzen RNGs die Anzahl der Versuche zu verkleinern, die man man bei "Brute-Force" brauchen würde?


vg Marcu
Miniaturansicht angehängter Grafiken
verschluesselungsphase.jpg  
  Mit Zitat antworten Zitat
Benutzerbild von Aphton
Aphton

Registriert seit: 31. Mai 2009
1.198 Beiträge
 
Turbo Delphi für Win32
 
#184

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 11. Jun 2012, 19:59
Ne Idee bzw. ein paar Fragen bzgl. des Löschens der "Katalog Datei" -> wie wird gelöscht? Wird die Katalogdatei geschreddert? Falls nicht, könnte man sie ja auf den Rechnern wiederherstellen, oder nicht?!
das Erkennen beginnt, wenn der Erkennende vom zu Erkennenden Abstand nimmt
MfG
  Mit Zitat antworten Zitat
Benutzerbild von Aphton
Aphton

Registriert seit: 31. Mai 2009
1.198 Beiträge
 
Turbo Delphi für Win32
 
#185

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 11. Jun 2012, 21:03
Bzgl des obrigen Posts - falls nicht geschreddert wird, könnte man ein "Gegenmittel" erzeugen, was jedoch solange wirkt, bis der Virenprogrammierer Wind davon bekommt. Sollte man also iwie geheim halten. Eig. ists schon zu spät... =/
das Erkennen beginnt, wenn der Erkennende vom zu Erkennenden Abstand nimmt
MfG

Geändert von Aphton (11. Jun 2012 um 21:13 Uhr)
  Mit Zitat antworten Zitat
Sonnenbogen

Registriert seit: 7. Jun 2012
1 Beiträge
 
#186

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 11. Jun 2012, 21:05
@ Marcu

ich habe eine Laienfrage:

Ist es nicht möglich den Trojaner zu manipulieren und zwar so das er euch die wichtigenen Infos in eine Datai oder auf den Drucker schreibt.

Wenn ihr den Code einfach ein wenig umschreibt und neu übersetzt und dann in einer sicheren Umgebung ausführt. Stück für Stück.

Ich bin ein Laie, aber ich würde so vorgehen, wenn es ginge. Debuggen und Breakpoints wären mir nicht genug.

Sonnenbogen
  Mit Zitat antworten Zitat
Benutzerbild von Aphton
Aphton

Registriert seit: 31. Mai 2009
1.198 Beiträge
 
Turbo Delphi für Win32
 
#187

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 11. Jun 2012, 21:14
Es geht, bringt aber nicht allzuviel. An diese Informationen kommt man so oder so.
das Erkennen beginnt, wenn der Erkennende vom zu Erkennenden Abstand nimmt
MfG
  Mit Zitat antworten Zitat
Marcu

Registriert seit: 20. Mai 2012
50 Beiträge
 
#188

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 11. Jun 2012, 22:36
@Apthon
Es gibt genau genommen 2 Katalogdateien. Eine mit der Endung ".$02", die andere mit der Endung ".$03". In der $02 Datei steht <Originalname, Neuername, Passwort> für jede verschlüsselte Datei. In der $03-Datei steht <Originalname, Neuername> - für jede Datei - also ohne Passwort.

- Der $02-Katalog befindet sich in _unverschlüsselter_ Form immer nur im Speicher des Computers - niemals in einer Datei. Nachdem der Katalog mit dem Katalogpasswort verschlüsselt wurde wird er in der $02-Datei gespeichert. Das Katalogpasswort selbst wird nie in eine Datei abgespeichert und nach Gebrauch sogar explizit aus dem Speicher gelöscht.

- Der $03-Katalog wird so verschlüsselt und abgespeichert, dass man es leicht entschlüsseln kann. Außerdem wird diese Datei nach der Verschlüsselungsphase nur gelöscht und nicht geschreddert. Man hat gute Chancen diese Datei wieder herzustellen. Damit kann man aber keine Dateien entschlüsseln. Nur den Originalnamen kann man damit wieder herstellen.

vg
  Mit Zitat antworten Zitat
Marcu

Registriert seit: 20. Mai 2012
50 Beiträge
 
#189

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 11. Jun 2012, 22:42
Hallo Sonnenbogen

Zitat:
Wenn ihr den Code einfach ein wenig umschreibt und neu übersetzt und dann in einer sicheren Umgebung ausführt. Stück für Stück.
genau das haben wir hier gemacht, aber wie Aphton es bereits sagte, es hat leider nicht viel gebracht.

Das Problem ist, dass bei jedem Opfer mit einem individuelles Passwort die Dateien verschlüsselt wurde - das Passwort aber nicht auf dem Computer des Opfers abgespeichert wurde.

Es genügt leider nicht das Programm in und auswendig zu kennen. Es gibt hier sogar mittlerweile eine ganze Reihe von Leuten die in Teilen den Virus besser und fehlerfreier schreiben könnten als der Programmierer des Trojaner es getan hat. Doch ohne das Passwort bringt das alles nichts. Man kann die Dateien nicht entschlüsseln. Selbst der Virenprogrammierer höchstpersönlich kann die Dateien nicht entschlüsseln, wenn er keinen Zugang zu den Passwörtern der Opfer hat.

Die Information die jetzt gebraucht wird steckt nicht im Virusprogramm. Es ist ein Passwort, das sich die Erpresser von den Computern der Opfer haben schicken lassen. Vielleicht schafft es die Polizei die Passwörter zu finden. Ich hoffe es sehr. Wenn so ein krimineller Programmierer keinen Fehler begeht, dann hat man leider nicht die geringste Chance. Tut mir sehr leid.

VG Marcu
  Mit Zitat antworten Zitat
Benutzerbild von Aphton
Aphton

Registriert seit: 31. Mai 2009
1.198 Beiträge
 
Turbo Delphi für Win32
 
#190

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 11. Jun 2012, 22:51
Schade

Ich sehe momentan echt nur noch mehr das Hacken des CC Servers als einzige Lösung. Inwiefern das den anderen passt, ist eig. irrelevant - es ist nur eine objektive Lösung.
Und schätzungsweise wird sich die Person - ganz im Gegenteil zu dir, Marcu, wie du deine Reversing Fortschritte hier mehr oder weniger "dokumentiert" hast - hier oder wo auch immer sicher nicht melden, da sie Angst vor evt. Konsequenzen haben wird xD
Das ganze wird dann so ablaufen, dass iwann im Internet ne Riesendatenbank (oder individuelle Tabellen) mit den Passwörtern auftaucht. Wobei fraglich ist wieder, ob die Passwörter auch richtig seitens Server gespeichert wurden. Ach.. Ich sehe echt keine Chance mehr...

Btw danke Marcu. Du hast dein bestes gegeben. Wäre es aus der Seite des Clienten machbar, hättest du es geschafft
das Erkennen beginnt, wenn der Erkennende vom zu Erkennenden Abstand nimmt
MfG

Geändert von Aphton (11. Jun 2012 um 23:10 Uhr)
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 19 von 34   « Erste     9171819 202129     Letzte »    

 

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 19:13 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz