Delphi-PRAXiS
Seite 16 von 34   « Erste     6141516 171826     Letzte »    
40 Beiträge dieses Themas auf einer Seite anzeigen

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Algorithmen, Datenstrukturen und Klassendesign (https://www.delphipraxis.net/78-algorithmen-datenstrukturen-und-klassendesign/)
-   -   Verschlüsselungs-Trojaner, Hilfe benötigt (https://www.delphipraxis.net/168380-verschluesselungs-trojaner-hilfe-benoetigt.html)

EWeiss 7. Jun 2012 10:35
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:
Als Anhang kann ich den Trojaner hier nicht gestatten, da das Risiko einer Infektion durch unbewusstes oder gar leichtfertiges Verhalten einfach zu groß ist. Ich bitte um Verständnis.
Was soll ich sagen! Danke.
Auch für die vorhergegangene Warnung


gruss

deraddi 7. Jun 2012 11:05
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Moin,

sorry für den vorschnellen Upload, gestehe ich ein. Muss aber anmerken das die Viren unschädlich gemacht wurden, der Anhang wurde in EXE!!! umbenannt. Wer den starten will muss schon leichtsinnig und willentlich die Datei umbenennen, wäre also nicht unbedingt was passiert.
Wer das Archiv trotzdem möchte, eine kurze Nachricht genügt.

Der Virus lässt mir keine Ruhe, ich bin schon ungeduldig bis ich die Festplatte in der Hand habe, ob ich in den gelöschten Bereichen was finde. Irgendwie will ich noch nicht aufgeben.
Könnte man wenn man seine Vorgehensweise komplett verstanden hat nicht eine Strategie für rückwärts entwickeln?

Klaus01 7. Jun 2012 12:21
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:
Zitat von TBUndertaker (Beitrag 1169788)
Ich stelle mir gerade vor, welchen administrativen Aufwand die Verwaltung der Passworddatenbank bedeutet.
Ich kann mir auch nicht vorstellen, dass die Passworte irgendwo auf der Welt gespeichert sind und ein Polizist die irgendwann zurück bringen könnte.

Eher bin ich davon überzeugt, dass der fehlende Part so simpel gestrickt ist, dass wir ihn nicht sehen.

Gruß Undertaker
oder der Ersteller des Trojaners hat nicht im geringsten daran gedacht diese Dateien je wieder herstellen zu könnnen.
Damit wäre der administrative Aufwand gleich Null.

Grüße
Klaus

EWeiss 7. Jun 2012 12:32
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:
Zitat von Klaus01 (Beitrag 1169816)
Zitat:
Zitat von TBUndertaker (Beitrag 1169788)
Ich stelle mir gerade vor, welchen administrativen Aufwand die Verwaltung der Passworddatenbank bedeutet.
Ich kann mir auch nicht vorstellen, dass die Passworte irgendwo auf der Welt gespeichert sind und ein Polizist die irgendwann zurück bringen könnte.

Eher bin ich davon überzeugt, dass der fehlende Part so simpel gestrickt ist, dass wir ihn nicht sehen.

Gruß Undertaker
oder der Ersteller des Trojaners hat nicht im geringsten daran gedacht diese Dateien je wieder herstellen zu könnnen.
Damit wäre der adminstrative Aufwand gleich Null.

Grüße
Klaus
Was ich schon sehr sehr weit vorne in einem Thread angesprochen habe.
Zitat:
Es ist Dumm zu glauben das der Schlüssel irgendwo zwischengelagert wird das ist einfach nur ein Witz.
Sorry wenn jemand so etwas macht wäre der Aufwand die Generierten Schlüssel zu sichern einfach zu hoch.
Wie will er diese dann anschließend dem richtigen User auch noch zukommen lassen über die erkennung der IP
das ist unmöglich da eine IP nicht zur identifizierung eines Person ausreichend ist siehe dynamische IP's als Beispiel.

Ich stehe mit beiden Beinen auf den Boden auch wenn es mir leid tut für die, die betroffen sind
die Erfolgsaussichten mit kleiner einschränkung (falls er die doch gesichert hat) gleich null.
Man kann also nur hoffen das die Rechtsvertreter da mal irgendwann etwas finden.

Die Hoffnung stirbt zuletzt.

PS:
Das problem ist aber auch das es vordefinierte Ordner im BS gibt in dem alles reingeknallt wird
Niemand wird jemals erleben das ich unter
  • Eigene Bilder
  • Eigene Dokumente
  • Eigene Musik
  • Eigene Videos

jemals etwas ablege das läd ja nur dazu ein Schabernack damit zu treiben.


gruss

highend 7. Jun 2012 12:49
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Falls die Teilschlüssel wirklich jemals in einer DB auf den CC Servern abgelegt worden sind und selbst wenn es den Behörden gelänge, einen dieser Server zu sichern und die Schlüssel zu veröffentlichen, woher sollte man wissen, welcher Schlüssel für den eigenen Rechner zuständig war. Mal angenommen, da sind mittlerweile über 100.000 (Teil-)Schlüssel gespeichert, es würde Wochen / Monate dauern herauszufinden, welcher Schlüssel der passende ist, schließlich könnte die Verifizierung ob eine / bzw. die erste Datei überhaupt korrekt entschlüsselt wurde, nur durch den Benutzer selbst erfolgen. Wobei natürlich zusätzlich erstmal eine Entschlüsselungssoftware geschrieben werden müsste (was aber vermutlich innerhalb einiger Tage geschehen könnte).

Alles in Allem: Die Daten sind zu 99,5% weg. Für immer. Hat man selbst kein Backup zur Hand, welches seit der Infektion auch nicht mehr hätte eingebunden werden dürfen, scheint der Ofen aus zu sein. Das muss entsprechend hart sein, bedenkt man, dass wahrscheinlich die meisten Menschen a.) überhaupt keine Backups machen | b.) Private Daten von vielen Jahren dauerhaft verloren sein können | c.) Evtl. sogar auf einem privaten PC, der auch beruflich genutzt wird, wirtschaftlich relevante Daten verloren sind.

Mein Beileid an alle, die es erwischt hat.

CAG83 7. Jun 2012 13:52
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Bez verschlüsselter jpgs scheinen einige repair tools erfolgreich zu sein, das zeugs wieder herstellen zu können.

highend 7. Jun 2012 14:02
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:
Bez verschlüsselter jpgs scheinen einige repair tools erfolgreich zu sein, das zeugs wieder herstellen zu können
Ja, funktioniert aber nur halbwegs praktikabel bei Bild- (die auch noch groß genug sein müssen) oder Musikdateien oder generell solchen Dateitypen, die trotz Zerstörung des Headers und eines geringen Teils der Nutzdaten noch im Großen und Ganzen lesbar gemacht werden können (kann z.B. auch auf Archive wie .zip / .rar usw. zutreffen).

Andere Arten von Dateien sind unwiederbringlich verloren oder so stark zerstört, dass eine vernünftige Rekonstruktion ausfällt.

Marcu 7. Jun 2012 14:27
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Hallo TBUndertaker

Zitat:
Ist es nur ein Passwort für Alle? Gibt es jeden Tag ein neues Password? Gibt es für jeden Rechner eins?
Ich habe es missverständlich formuliert.

Der Virus bestimmt per Zufall ein individuelles und zufälliges Passwort auf jedem PC und verschlüsselt damit eine Datei die gebraucht wird um alle verschlüsselten Dateien zu entschlüsseln. Der Ablauf ist folgendermaßen:

(Für Leute mit Debugger: Sucht die Funktion bei der eine lokale Variable mit folgendem String initialisiert wird "cmd=lfk&ldn=%u&stat=CRA&rev=%s&data=". Oder sucht die Funktion in der GetLogicalDrivesStringA aufgerufen wird.)

Code:
procedure BuildCatalogFiles ".$02" und ".$03" and EncryptUserfiles

  while Busyflag do
    sleep(1000)
  Busyflag:=True

  Download $Desk-File;

  l:=RandomNumber
  CatalogPassword:=RandomString(l) //l ist Länge des Passworts
  PasswordCopy:=CatalogPassword;

  //Das Passwort für die folgende Verschlüsselung ist leicht zu errechnen
  EnryptWithCrypdllMD5(PasswordCopy)

  //Die folgende Verschlüsselung nenne ich Verschlüsselung. So Leute wie Bruce Schneier nennen so etwas wahrscheinlich "alberne Spielerei". HomeBrewCrypt ist lediglich ein etwas kompliziertere XOR-Verschlüsselung. Man kann in Delphi einfach die disassemblierte Funktion per Cut&Paste zwischen ein "asm" und "end" kopieren. Nach einigen Anpassungen ist dann "HomebrewCrypt" einsatzfähig - ohne anstrengende Rückübersetzung.
 
  EncryptWithHomeBrewCrypt(PasswordCopy);

  UrlEncode(PasswordCopy);

  // CatalogPasswort wird mit einen ID an einen C&C-Server geschickt.ID=HarddriveSerialnumber+Computername
  Done:=SendViaInternetToC&C-Server(HarddriveSerialnumber+Computername,CatalogPassword)
 
  if Done then
  begin
    Catalog$02=GlobalAlloc
    Catalog$03=GlobalAlloc
 
    Drives:=GetLogicalDrivesStringA
    do
       D:=FirstDrive(Drives)  
     
       CreateThread( BuildCatalogEntriesForDrive(D) )
             
       Drives:=Drives-D
    until Empty(Drives);
   
    sleep(3000)
    do
      sleep(1000)
   until all Threads finished

   // Hier kommt das CatalogPasswort zum Einsatz. Nach dem ersten Ausschalten des  Computers
   // ist das Password allein in den Händen der Erpresser.
   EncryptAndSaveToFile (Catalog$02,CatalogPassword)
   
   EncryptAndSaveToFile (Catalog$03,HarddriveSerialnumber+Computername)
   
   EncryptUserFiles(Catalog$02,Catalog$03);
   
  end;

  Busyflag=False;
 
end.
Zitat:
Ich stelle mir gerade vor, welchen administrativen Aufwand die Verwaltung der Passworddatenbank bedeutet.
Genau damit hatte ich auch ein Problem. Bevor ich den Code reversed habe dachte ich noch an eine Art Hashfunktion die billig auf den C&C-Servern zu implementieren ist und aus einer ID ein Passwort generiert. Diese Vermutung war aber dann schnell dahin.
Es ist tatsächlich so, dass ein Passwortbestand von den Erpressern gepflegt wird. In diesem Datenbestand ist für jeden verschlüsselten Computer eine ID (Seriennummer+Computername) und das CatalogPasswort eingetragen.

Ob der Datenbestand in einer Textdatei oder in einer Datenbank oder in einer Cloud steckt kann man rausfinden wenn man die Datei "index.php" anschaut, die auf jedem C&C Server installiert ist. Ich wünschte so sehr, dass ich diese Datei hätte. Hätte man die "index.php" dann hätte man Zugriff auf die Passwörter der Opfer und könnte im Handumdrehen ein Programm schreiben, welches alle Computer entschlüsselt.

Das soll jetzt kein Aufruf zum illegalen Eindringen in fremde Computersysteme werden. Aber wenn mich einer per PM darüber informiert was für Tricks es gibt um php-Scripte auszuhebeln, dann wäre ich ihm auf ewig dankbar. Ich habe das Gefühl, dass die Erpresser sich seit ein paar Tagen über meine staubigen Sql-Injektionversuche totlachen.

Der Virus ist so ausgelegt, dass er die Daten entschlüsseln kann. Ich habe mehrmals Testdaten während einer Simulation vom Virus wieder entschlüsseln lassen. Der Grund dafür, dass bei den Leuten die tatsächlich bezahlen :-( es nicht funktioniert, liegt bei C&C-Servern oder an einem Computer dahinter. Der Virus erhält einfach kein/oder ein falsches Feedback von den C&C-Servern. Gestern Nacht konnte ich nicht ein einziges Mal einen C&C-Server dazu bringen bei mir eine Verschlüsselung zu kommandieren. Es wundert mich nicht, dass das Entschlüsseln gleich schlecht funktioniert.

Der administrative Aufwand für die Verwaltung der Passwörter ist anscheinend zu groß. Vielleicht klappt es deswegen nicht mit dem Entschlüsseln. Vielleicht sind es auch Probleme die außerhalb der Reichweite der Virenprogrammierer liegen. Möglicherweise gibt es Probleme beim verifizieren der Paycodes.

Viele Grüße
Marcu

mkinzler 7. Jun 2012 14:50
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Zitat:
Was ich schon sehr sehr weit vorne in einem Thread angesprochen habe.
Zitat:
Es ist Dumm zu glauben das der Schlüssel irgendwo zwischengelagert wird das ist einfach nur ein Witz.
Und da ist es wieder, das Wort das hier völlig falsch am Platze ist!

Zitat:
Das problem ist aber auch das es vordefinierte Ordner im BS gibt in dem alles reingeknallt wird
Niemand wird jemals erleben das ich unter ...
jemals etwas ablege das läd ja nur dazu ein Schabernack damit zu treiben.
Wäre ja auch schlimm etwas an einem Ort abzulegen, der dafür geschaffen wurde. Man legt auch kein Geld in einen Tresor oder stellt Verderbliches in den Kühlschrank, denn das lädt nur zu Schabernack ein :mrgreen:

Es gibt hier Einige, die gute Arbeit leisten um andere zu Helfen und da finde ich es unangebracht diese als "dumm" zu bezeichnen!

Zudem schützt eine Ablage an anderen Orten nicht vor Verlust, auch wenn du es durch deine Aussage suggerierst!

CAG83 7. Jun 2012 15:17
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 
Is halt merkwürdig, wenn die Jungs die daten verschlüsseln, einen teil des schlüssels auf nen server uploaden, und wenn einer zahlen will, passiert nix? Da hätten die die files ja auch komplett zerstören können oder so, wisst ihr was ich meine?

hab damals vor eine Woche direkt eine testmail an die im teyt angegebene mail gesendet, so auf die Art ich will zahlen mit dem Wortlaut UKash code im Betreff, da kam und komt bis heute eine not received message zurück.

BTW: Weiß jemand eine Community die mir helfen kann kann bez der jpegs? Bilder von kamera A lassen sich wunderbar wieder herstellen, Bilder von Kamera B von 100 Bildern nur 3.

Ich brauch da jemanden, de sich auskennt mit JPEG File aufbau, Header auslesen und umschreiben oder so was.

greetz und nachmals danke für die tolle rbeit hier, ich für meinen Teil sicher alle verschlüsselten Daten, samt der TEmpfiles und ein exemplar der selbstkopie des Trojaners HEX.exe und werd dann mal neu aufsetzten.
Vielleicht findet in einem Jahr mal wer einen Fehler im Viruscode oder so.


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:36 Uhr.
Seite 16 von 34   « Erste     6141516 171826     Letzte »    
40 Beiträge dieses Themas auf einer Seite anzeigen

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz