Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Neue Verschlüsselungs-Trojaner Variante im Umlauf

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 18.09.2012, 14:23   #1201
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Icon30

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Zitat:
Zitat von markusg Beitrag anzeigen
noch mal, es gibt keine möglichkeit der entschlüsselung, es gibt keine fehler bei der implementierung der verschlüsselung
Papperlapp Markus, ihr seid nur faule Hunde und weil ihr den Fehler nicht nach zwei Minuten gefunden habt, kommt jetzt diese Schutzbehauptung, es gäbe ja keine Fehler in der Implementierung

Zitat:
also die hoffnung auf entschlüsselung kann man getrost begraben :-(
Pah zu faul zum Suchen sag ich da!
Zitat:
und, die andauernden hinweise auf backups sind richtig. wenn einige es nicht lernen wollen, ist es ihr problem, dann merken sies vllt beim zweiten oder dritten mal. der rest hatt dann wenigstens beim nächsten mal glück
Wer Ordnung hält ist bloß zu faul zum Suchen
Und wer Backups macht und ist nur zu faul die Daten nochmal zu erstellen bzw. zu entschlüsseln....ja so siehts nämlich aus!

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 18.09.2012, 19:34   #1202
bombinho
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Ueber die Verschluesselung haette ich doch gerne geredet. An welchem Punkt seid ihr ausgestiegen? Welche Ansaetze habt ihr verfolgt? Vielleicht finden mehrere Augen ja doch noch was?
__________________


Alt 18.09.2012, 19:38   #1203
markusg
/// Malware-holic
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



nicht nur "wir" sind ausgestiegen, sogar sämmtliche hersteller von av-software analysen etc gibts zuhauf
vllt suche ich sie bei gelegenheit mal raus, aber google müsste dir da schon weiter helfen
__________________
__________________

Alt 18.09.2012, 20:05   #1204
bombinho
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Naja, ich glaube nicht, dass mir Google hilft, eure Ansaetze zu finden. Das war ernst gemeint, dass ich mir das gerne mit Euch anschauen wuerde.
ich habe zu dem Thema mehr Ideen als Zeit, aber vielleicht habt ihr ja auch das schon probiert und es lohnt sich nicht fuer mich?

Alt 18.09.2012, 20:14   #1205
markusg
/// Malware-holic
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



kannst dir ja mal zum anfang das hier:
Verschlüsselungs-Trojaner, Hilfe benötigt - Delphi-PRAXiS
durchlesen

__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 18.09.2012, 20:29   #1206
bombinho
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Dann wuerde ich mal bis zum Ende gehen von diesem Thread.

Zwischen rein lesen koennte es auch tun.

Alt 18.09.2012, 20:47   #1207
W_Dackel
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Woher wisst Ihr eigentlich so genau dass der Trojaner überhaupt noch verschlüsselt ?

Angesichts des Verlaufs "der Epidemie" habe ich folgenden Verdacht:

Die Gauner hatten ursprünglich vor bei Bezahlung die Dateien zu entschlüsseln und den Rechner freizugeben (immerhin hatte jeder Trojaner den Entschlüsselungsschlüssel auf der Platte platziert). Dann scheint irgendetwas mit dem Entschlüsselungsmechanismus schief geganen zu sein (jedenfalls habe ich von keinem Fall gehört in dem der Trojaner selbst entschlüsselt hätte), aber die Bezahlungen kamen trotzdem rein.

Irgendwann bemerkten sie dass die AV Hersteller und auch Ihr Entschlüsselungsprogramme zur Verfügung stelltet...

Wer sagt dass der Trojaner- da anscheinend genügend Opfer eh bezahlen- nicht die ersten Kbytes einfach mit Zufallszahlen überschreibt ?

Diese "Verschlüsselung" wäre dann wirklich unknackbar.

Mein "Backup" System ist übrigens wie folgt: USB Platte immer eingesteckt, aus Energiespargründen aber per Schalter vom Stromnetz getrennt (mal sehen wie ein Trojaner das knacken will).

Wenn wichtige Daten anfallen schalte ich die Platte ein, kopiere die Daten drauf, schalte sie wieder aus, fertig ist.

Das unter Linux... ich glaube so lange mir nicht gerade die Bude abbrennt langt das...

Alt 18.09.2012, 21:21   #1208
markusg
/// Malware-holic
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



welchen post meinst du, du könntest den schlüssel zwar bruteforcen das würde aber wohl einige jahre dauern.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 18.09.2012, 21:25   #1209
W_Dackel
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Allgemein.. wenn die Gauner eh nicht vorhaben die Daten zu entschlüsseln- selbst wenn das Opfer bezahlt.. dann können sie statt zu verschlüsseln doch einfach Zufallszahlen über die Dateien schreiben...

Merkt man eh nicht.. solange nicht jemand den Trojaner "reverse engineered"...

Alt 18.09.2012, 21:32   #1210
bombinho
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Zitat:
Zitat von W_Dackel Beitrag anzeigen

Wer sagt dass der Trojaner- da anscheinend genügend Opfer eh bezahlen- nicht die ersten Kbytes einfach mit Zufallszahlen überschreibt ?

Diese "Verschlüsselung" wäre dann wirklich unknackbar.
Das stelle ich mal als falsch hin. Generell ist jede Verschluesselung, die Du mit einem handelsueblichen PC erzeugst nichts anderes als eine Kette von Pseudozufallszahlen.
Nur eben dass Algorithmen wie RC4 oder AES das eben erheblich besser machen als uebliche Zufallsgeneratoren.
Waere ein ueblicher Generator verwendet worden, waere das gute Stueck laengst geknackt.

Alt 18.09.2012, 21:43   #1211
TrojanerHunterNEW
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Einen großrechner benutzen, Gray, Mainframe rechner, Cluster, oder wie immer sie auch heißen, und damit diesen Code brechen.

Dieser Code, oder auch ein anderer Code, mußt doch irgendwie hinterlegt sein, um ihn zu verstehen, bzw. einen Text, Programm zu verschlüßeln, und da muß es doch auch Wege zurück geben, also der Code muß doch irgendwie bekannt sein. Ich gehe von diesen Weg aus, ich tuhe was verschlüßeln, dan kann ich das ganze auch wieder zurück führen.

Ok, da steckt höhere Mathematik dahinter, nehem ich an.

Nun ja, vielleicht ein bischen sehr naiv gedacht von mir, aber ich wollte halt auch was dazu einbringen. Wahrscheinlich was dummes.

THN
__________________
Wer auf den Kopf geht, hat den Himmel als Abgrund.

Alt 18.09.2012, 21:43   #1212
bombinho
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Zitat:
Zitat von markusg Beitrag anzeigen
welchen post meinst du, du könntest den schlüssel zwar bruteforcen das würde aber wohl einige jahre dauern.
Ich wuerde es ja gerne mal versuchen. Sollte einer der Betroffenen einen Intel Prozessor (nicht i3/5/7) haben kann er sich gerne bei mir melden.

Zitat:
Zitat von TrojanerHunterNEW Beitrag anzeigen
Einen großrechner benutzen, Gray, Mainframe rechner, Cluster, oder wie immer sie auch heißen, und damit diesen Code brechen.

Dieser Code, oder auch ein anderer Code, mußt doch irgendwie hinterlegt sein, um ihn zu verstehen, bzw. einen Text, Programm zu verschlüßeln, und da muß es doch auch Wege zurück geben, also der Code muß doch irgendwie bekannt sein. Ich gehe von diesen Weg aus, ich tuhe was verschlüßeln, dan kann ich das ganze auch wieder zurück führen.
Generell richtig, die Problematik ist nicht das Entschluesseln sondern die dafuer benoetigte Zeit. Wenn diese absehbar einen bestimmten Rahmen ueberschreitet, wird das ganze als unknackbar angesehen. Bei hochsicheren Verschluesselungen reicht das allerdings nicht. Weil ja doch jemand einen Zufallstreffer landen koennte. Dort muss dann mit zusaetzlichen Methoden sichergestellt werden, dass auch ein Zufallstreffer nicht ausreicht.

Alt 18.09.2012, 21:53   #1213
TrojanerHunterNEW
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



@
bombinho

Noch einmal, derjenig der das uns eingebrokt hat weiß genau wie dieser Code funktoniert, ich nehme nicht an das er den selber erfunden hat. Somit muß man das irgendwie rückgaännig machen können. Verschlüßeln geht schnell, aber der andere Weg....???

THN
__________________
Wer auf den Kopf geht, hat den Himmel als Abgrund.

Alt 18.09.2012, 22:14   #1214
bombinho
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Zitat:
Zitat von TrojanerHunterNEW Beitrag anzeigen
@
bombinho

Noch einmal, derjenig der das uns eingebrokt hat weiß genau wie dieser Code funktoniert, ich nehme nicht an das er den selber erfunden hat. Somit muß man das irgendwie rückgaännig machen können. Verschlüßeln geht schnell, aber der andere Weg....???
Davon darfst Du ausgehen, dass er weder den verwendeten Zufallsgenerator erfunden hat noch RC4. Rein theoretisch ist das auch ohne Bruteforcen zu knacken, leider ist das nichts, was ich mir alleine zutraue. Schon zeittechnisch nicht. Da waere eine MatheSpezi gefragt. Vielleicht kann ja Shadow aushelfen.
Es sind alle Vorzeichen gesetzt, wer sich mal ein wenig mit RC4 beschaeftigt hat, weiss das auch. (Es sind keine sicheren Parameter im Zufallsgenerator gesetzt. am rande) Auch wurde RC4 nicht nach gaengigen Sicherheitsrichtlinien implementiert. Soviel mal dazu.
Die Frage ist, wie man das ausnutzen kann. Einige Sachen konnte ich noch nicht an original verschluesselten Sachen ausprobieren. Bei anderen musste ich feststellen, dass die offensichtlichen Luecken nicht ausreichen oder ich die Parametrisierung vergurkt habe. Generell kann man aber eben auch Glueck haben auch wenn die Chance klein ist. Je mehr Lottospieler, desto hoeher die Wahrscheinlichkeit auf Gewinner.

Alt 18.09.2012, 22:15   #1215
W_Dackel
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



@bombinho: das verstehst du falsch. Wenn ich die ersten 12 K deiner Dateien mit irgendeinem Schlüssel verschlüssele hast du mindestens prinzipiell die Chance diese Dateien wiederherzustellen. Sei es jetzt wenn ich dir den Schlüssel gebe, oder vielleicht in 20 Jahren wenn die Rechner so schnell sind dass "brute force" auf heutige Verschlüsselungsverfahren anwendbar sind.

Wenn ich die Daten einfach überschreibe.. mit Nullen, oder zur Tarnung mit Pseudo Zufallszahlen die allerdings mit dem Originalinhalt der Datei rein gar nichts zu tun haben.. dann kannst du bis ans Jüngste Gericht versuchen die Daten zu "entschlüsseln", dann sind sie schlichtweg gelöscht.

Ich gebe mal meinen Link zu den Gebrauchtlizenzen an.. außerdem ist da gleich der zweite Anbieter solcher OEM Lizenzen genannt:

Gebrauchtsoftware: Politik der Nadelstiche | heise resale

Antwort

Themen zu Neue Verschlüsselungs-Trojaner Variante im Umlauf
256 bit, 256 bit aes schlüssel, abmahnn, computerverschlüsselungstrojaner, mahnung.zip, rechnung.pif, sie haben sich mit einen windows-verschlüsselungs trojaner infiziert, spam-mails, tr/skelf.a, trojan.matsnu.1, trojan.winlock, trojan:win32/matsnu.gen!a, verschlüsselungs-trojaner, virus verschlüsselt, wickel, willkomen bei windows update, win32/trustezeb.b, windows notfall sicherheits-update center




Ähnliche Themen: Neue Verschlüsselungs-Trojaner Variante im Umlauf


  1. XcodeGhost: Neue Version von manipuliertem Apple-Entwicklungstool im Umlauf
    Nachrichten - 04.11.2015 (0)
  2. Neue DHL-Mail Variante?
    Diskussionsforum - 29.05.2015 (2)
  3. Neue Familie von Erpressungs-Trojanern Umlauf
    Nachrichten - 15.08.2013 (0)
  4. Bundestrojaner neue Variante?
    Plagegeister aller Art und deren Bekämpfung - 26.03.2013 (28)
  5. BKA Trojaner neue Variante "Der Computer ist für die Verletzung der Gesetze der Bundesrepublik..."
    Plagegeister aller Art und deren Bekämpfung - 05.08.2012 (2)
  6. Windows-Verschlüsselungs-Trojaner (Neue Art)
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (1)
  7. Verschlüsselungs Trojaner BKA GEMA Variante
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (1)
  8. Neuer Verschlüsslungs Variante in umlauf
    Diskussionsforum - 13.07.2012 (7)
  9. Verschlüsselungs-Trojaner, Neue Version
    Plagegeister aller Art und deren Bekämpfung - 13.06.2012 (1)
  10. Rechner befallen von ...... Neue Verschlüsselungs-Trojaner Variante im Umlauf
    Plagegeister aller Art und deren Bekämpfung - 12.06.2012 (1)
  11. Verschlüsselungs-Trojaner Variante
    Plagegeister aller Art und deren Bekämpfung - 03.06.2012 (1)
  12. Neue Variante von Ukash
    Log-Analyse und Auswertung - 23.10.2011 (34)
  13. Bundespolizei: Neue Variante vom 'Bundes-Trojaner'
    Plagegeister aller Art und deren Bekämpfung - 09.09.2011 (5)
  14. Neue Mails im Umlauf
    Plagegeister aller Art und deren Bekämpfung - 21.03.2007 (1)
  15. neue Variante von W32.Netsky ?
    Plagegeister aller Art und deren Bekämpfung - 15.04.2005 (10)
  16. Neue Blaster Variante?
    Plagegeister aller Art und deren Bekämpfung - 02.09.2003 (4)

Zum Thema Neue Verschlüsselungs-Trojaner Variante im Umlauf - Zitat: Zitat von markusg noch mal, es gibt keine möglichkeit der entschlüsselung, es gibt keine fehler bei der implementierung der verschlüsselung Papperlapp Markus, ihr seid nur faule Hunde und weil - Neue Verschlüsselungs-Trojaner Variante im Umlauf...
Archiv
Du betrachtest: Neue Verschlüsselungs-Trojaner Variante im Umlauf auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.