|
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
ja die server von denen sind vernünftig abgesichert so wies aussieht.
und zwar alle bisher verwendeten cc's |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Zitat:
Eine Gruppe von mehreren Personen organisiert sich, um in fremdes System einzudringen. ... Das riecht nach ... *schnupper* ... organisierter Computer-Kriminalität. Leute, das geht nicht. Ich komme als Betreiber dieses Forums in Teufels Küche, wenn Ihr hier einen Plan ausheckt, um einen dieser Server anzugreifen. Aus menschlicher Sicht kann ich Euch verstehen - aber die Planung für einen "Gegenangriff" kann ich hier nicht tolerieren. Ich bitte dafür um Verständnis. |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Tut mir echt leid, falls es so aussieht, als ob ne Planung im Gange ist. Ich spreche nur meine Gedanken aus (bzw fasse sie in Worte).
Ich selber nehme eig. am ganzen Thread ja auch nur passiv Teil - ich liefere nur Ideen die ich habe. Nochmals, sry =/ |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Als Moderator dieses Forums würde ich dich bitte, solche Gedanken hier auch nicht öffentlich auszusprechen. Setzt dazu ein eigenes Forum auf oder macht das per Mail. Aber wie schon gesagt bitte nicht hier im Forum!
|
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Damit es nicht falsch rüber kommt. Das war nicht als Zurechtweisung gedacht, sondern als Bitte bzw. Hinweis. Man muss da leider etwas vorsichtig sein und lieber etwas zu vorsichtig, weil Daniel am Ende den Kopf für eure Beiträge hinhalten muss. Ist doof, ist aber leider so.
|
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Ich verstehe es ja, Kp.
Deshalb entschuldige ich mich ja.. |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Wegen der Hacking-Diskussion:
Ich denke eh nicht wirklich, dass die relevanten Daten auf den Servern liegen, das wäre zu einfach :-) Die a.php ist sicher nur ein Proxy und leitet die Anfragen an einen Server weiter, den wir noch gar nicht kennen, so würde ich das jedenfalls machen, wenn ich sicherstellen will, dass meine Passwörter auch dann noch verfügbar sind, wenn die "öffenlichen" Server hops genommen werden. @Marcu: Danke für die super Erklärungen & das Bild für die bessere Übersicht! @markusg: Ja, eine Version 2.X hätte ich gern. |
Kann man die IP-Adressen nicht wirkungsvoll blockieren?
Hallo Zusammen,
habe mit dem Problem zum Glück akut nichts zu tuen, habe aber trotzdem mal ein paar Fragen? Wäre es mögliche alle IP-Adressen, der vom Trojaner genutzen Server, zu veröffentlichen? Hintergrund: Es wäre damit ja möglich die IP-Adressen per Firewall zu blockieren. Wie verhält sich in diesem Fall der Trojaner? Richtet er trotzdem Schaden an oder schlägt die Schadroutine nur zu, wenn er eine Verbindung hat herstellen können? Greift er über IP-Adressen auf die Server zu oder über die Namen der Rechner, beim Zugriff über den Namen wäre es ja dann auch möglich, die Namensauflösung über die hosts-Datei auf eine andere IP (z. B. 0.0.0.0) umzuleiten, mit der Folge das der Trojaner sein Ziel nicht erreichen kann. Entsprechende Regeln sollten aber sicherlich in jeder Firmenfirewall hinterlegt werden können, für den Privatanwernder wird es dann etwas schwieriger, da er sich ja selbst mit einer Firwall befassen muss. Wäre es möglich, dass die Netzbetreiber die IP-Adressen oder die Namensauflösung blockieren? Mir ist dabei durchaus klar, dass die gelungene Blockierung von Namen und/oder IP-Adressen auch missbraucht werden kann, um damit eine Zensur durchzuführen ala Name und IP von z. B. Google blockieren und wir haben eine "wunderbare" Zensur. Wenn man in einem Netzwerk mehrere Rechner mit identischer IP-Adresse hat, bekommt man ja durchaus Probleme in Bezug auf die Erreichbarkeit der Rechner. Was passiert, wenn man ins Netz nun weitere Rechner stellt, die permanent verfügbar sind und "zufällig" die gleichen IP-Adressen und/oder Namen haben, wie die vom Trojaner genutzen Server. "Stört" man damit ggfls. nur den Trojaner oder hätte das weitere negative Auswirkungen auf den Datenverkehr im gesamten Netz (also letztlich weltweit)? Klar ist, dass dies alles den Geschädigten nicht hilft, aber eventuell ließe sich bei Realisierbarkeit des Einen oder Anderen ja der weitere, leider zu erwartende, Schaden verringern. Alle Texte von Mails, die ich bisher zu dem Trojaner habe lesen können, waren deutschsprachig, ist der Trojaner auf den deutschen Sprachraum beschränkt oder ist der multilingual? Oder wer verschickt nach welchen Kriterien die Mails, die den Trojaner enthalten? Da scheint sich ja auch jemand zumindest ein paar Gedanken gemacht zu haben, wenn auch mir bisher keine der Mails inhaltlich plausibel erschien. Bei allen Mails waren Formulierungen zu finden (oder Rechnungsoptionen bzw. Preise), die klar auf ein Fake hindeuten, so dass für meine Begriffe bei keiner dieser Mails eine Veranlassung bestand, den Anhang zu öffnen. Aber hier muss man wohl die Leute einfach mal besser und ausführlicher Informieren, das wäre sicherlich was für Quarks & Co. und wie sie alle heißen... Stephan PS.: Ich erwarte jetzt keine vollumfängliche Antwort, aber vielleicht lassen sich ja doch Möglichkeiten zur Schadensbegrenzung finden. |
AW: Kann man die IP-Adressen nicht wirkungsvoll blockieren?
Zitat:
Was einen gewissen Effekt bringen würden, wäre ein DOS-Angriff auf die Command&Control-Server. Man müsste die Server mit Fake-Daten regelrecht zuschiesen. Problem ist nur, dass dann der Virus so geändert wird, dass er immer einen CC-Server findet. Die Rechnernamen oder IP-Adressen sind dann nicht mehr hartcodiert, sondern werden von einem ausgeklügelten Algorithmus erzeugt, wie man ihn schon von Botnetzen kennt. Wenn ein CC-Server gekillt wird stehen schon 5 andere bereit den Job zu übernehmen. :evil: |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Schon richtig, wenn der Ransom keinen Serverkontakt bekommt, verschluesselt er nicht. Das war auch mein anfaengliches Problem.
Der Trojaner sass auf dem Rechner und tat nichts. Bis ich mir den Netzwerkverkehr angeschaut habe und festgestellt hatte das der AV vom uebergeordneten System den Netzwerkverkehr stoerte. Ich habe den Verdacht, dass da noch ein paar mehr Leute betroffen sind, wo der AV im Moment noch die Aktivierung verhindert. @Markusg: Jupp, wuerde mir die v2 auch gerne mal anschauen. Seit wann ist die aktiv? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:54 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz