|
Diskussionsforum: Neue Verschlüsselungs-Trojaner Variante im UmlaufWindows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
18.09.2012, 14:23 | #1201 | |||
/// Winkelfunktion /// TB-Süch-Tiger™ | Neue Verschlüsselungs-Trojaner Variante im UmlaufZitat:
Zitat:
Zitat:
Und wer Backups macht und ist nur zu faul die Daten nochmal zu erstellen bzw. zu entschlüsseln....ja so siehts nämlich aus!
__________________ Logfiles bitte immer in CODE-Tags posten |
18.09.2012, 19:34 | #1202 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Ueber die Verschluesselung haette ich doch gerne geredet. An welchem Punkt seid ihr ausgestiegen? Welche Ansaetze habt ihr verfolgt? Vielleicht finden mehrere Augen ja doch noch was?
__________________ |
18.09.2012, 19:38 | #1203 |
/// Malware-holic | Neue Verschlüsselungs-Trojaner Variante im Umlauf nicht nur "wir" sind ausgestiegen, sogar sämmtliche hersteller von av-software analysen etc gibts zuhauf
__________________vllt suche ich sie bei gelegenheit mal raus, aber google müsste dir da schon weiter helfen
__________________ |
18.09.2012, 20:05 | #1204 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Naja, ich glaube nicht, dass mir Google hilft, eure Ansaetze zu finden. Das war ernst gemeint, dass ich mir das gerne mit Euch anschauen wuerde. ich habe zu dem Thema mehr Ideen als Zeit, aber vielleicht habt ihr ja auch das schon probiert und es lohnt sich nicht fuer mich? |
18.09.2012, 20:14 | #1205 |
/// Malware-holic | Neue Verschlüsselungs-Trojaner Variante im Umlauf kannst dir ja mal zum anfang das hier: Verschlüsselungs-Trojaner, Hilfe benötigt - Delphi-PRAXiS durchlesen
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
18.09.2012, 20:29 | #1206 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Dann wuerde ich mal bis zum Ende gehen von diesem Thread. Zwischen rein lesen koennte es auch tun. |
18.09.2012, 20:47 | #1207 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Woher wisst Ihr eigentlich so genau dass der Trojaner überhaupt noch verschlüsselt ? Angesichts des Verlaufs "der Epidemie" habe ich folgenden Verdacht: Die Gauner hatten ursprünglich vor bei Bezahlung die Dateien zu entschlüsseln und den Rechner freizugeben (immerhin hatte jeder Trojaner den Entschlüsselungsschlüssel auf der Platte platziert). Dann scheint irgendetwas mit dem Entschlüsselungsmechanismus schief geganen zu sein (jedenfalls habe ich von keinem Fall gehört in dem der Trojaner selbst entschlüsselt hätte), aber die Bezahlungen kamen trotzdem rein. Irgendwann bemerkten sie dass die AV Hersteller und auch Ihr Entschlüsselungsprogramme zur Verfügung stelltet... Wer sagt dass der Trojaner- da anscheinend genügend Opfer eh bezahlen- nicht die ersten Kbytes einfach mit Zufallszahlen überschreibt ? Diese "Verschlüsselung" wäre dann wirklich unknackbar. Mein "Backup" System ist übrigens wie folgt: USB Platte immer eingesteckt, aus Energiespargründen aber per Schalter vom Stromnetz getrennt (mal sehen wie ein Trojaner das knacken will). Wenn wichtige Daten anfallen schalte ich die Platte ein, kopiere die Daten drauf, schalte sie wieder aus, fertig ist. Das unter Linux... ich glaube so lange mir nicht gerade die Bude abbrennt langt das... |
18.09.2012, 21:21 | #1208 |
/// Malware-holic | Neue Verschlüsselungs-Trojaner Variante im Umlauf welchen post meinst du, du könntest den schlüssel zwar bruteforcen das würde aber wohl einige jahre dauern.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
18.09.2012, 21:25 | #1209 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Allgemein.. wenn die Gauner eh nicht vorhaben die Daten zu entschlüsseln- selbst wenn das Opfer bezahlt.. dann können sie statt zu verschlüsseln doch einfach Zufallszahlen über die Dateien schreiben... Merkt man eh nicht.. solange nicht jemand den Trojaner "reverse engineered"... |
18.09.2012, 21:32 | #1210 | |
| Neue Verschlüsselungs-Trojaner Variante im UmlaufZitat:
Nur eben dass Algorithmen wie RC4 oder AES das eben erheblich besser machen als uebliche Zufallsgeneratoren. Waere ein ueblicher Generator verwendet worden, waere das gute Stueck laengst geknackt. |
18.09.2012, 21:43 | #1211 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Einen großrechner benutzen, Gray, Mainframe rechner, Cluster, oder wie immer sie auch heißen, und damit diesen Code brechen. Dieser Code, oder auch ein anderer Code, mußt doch irgendwie hinterlegt sein, um ihn zu verstehen, bzw. einen Text, Programm zu verschlüßeln, und da muß es doch auch Wege zurück geben, also der Code muß doch irgendwie bekannt sein. Ich gehe von diesen Weg aus, ich tuhe was verschlüßeln, dan kann ich das ganze auch wieder zurück führen. Ok, da steckt höhere Mathematik dahinter, nehem ich an. Nun ja, vielleicht ein bischen sehr naiv gedacht von mir, aber ich wollte halt auch was dazu einbringen. Wahrscheinlich was dummes. THN
__________________ Wer auf den Kopf geht, hat den Himmel als Abgrund. |
18.09.2012, 21:43 | #1212 | ||
| Neue Verschlüsselungs-Trojaner Variante im UmlaufZitat:
Zitat:
|
18.09.2012, 21:53 | #1213 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf @ bombinho Noch einmal, derjenig der das uns eingebrokt hat weiß genau wie dieser Code funktoniert, ich nehme nicht an das er den selber erfunden hat. Somit muß man das irgendwie rückgaännig machen können. Verschlüßeln geht schnell, aber der andere Weg....??? THN
__________________ Wer auf den Kopf geht, hat den Himmel als Abgrund. |
18.09.2012, 22:14 | #1214 | |
| Neue Verschlüsselungs-Trojaner Variante im UmlaufZitat:
Es sind alle Vorzeichen gesetzt, wer sich mal ein wenig mit RC4 beschaeftigt hat, weiss das auch. (Es sind keine sicheren Parameter im Zufallsgenerator gesetzt. am rande) Auch wurde RC4 nicht nach gaengigen Sicherheitsrichtlinien implementiert. Soviel mal dazu. Die Frage ist, wie man das ausnutzen kann. Einige Sachen konnte ich noch nicht an original verschluesselten Sachen ausprobieren. Bei anderen musste ich feststellen, dass die offensichtlichen Luecken nicht ausreichen oder ich die Parametrisierung vergurkt habe. Generell kann man aber eben auch Glueck haben auch wenn die Chance klein ist. Je mehr Lottospieler, desto hoeher die Wahrscheinlichkeit auf Gewinner. |
18.09.2012, 22:15 | #1215 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf @bombinho: das verstehst du falsch. Wenn ich die ersten 12 K deiner Dateien mit irgendeinem Schlüssel verschlüssele hast du mindestens prinzipiell die Chance diese Dateien wiederherzustellen. Sei es jetzt wenn ich dir den Schlüssel gebe, oder vielleicht in 20 Jahren wenn die Rechner so schnell sind dass "brute force" auf heutige Verschlüsselungsverfahren anwendbar sind. Wenn ich die Daten einfach überschreibe.. mit Nullen, oder zur Tarnung mit Pseudo Zufallszahlen die allerdings mit dem Originalinhalt der Datei rein gar nichts zu tun haben.. dann kannst du bis ans Jüngste Gericht versuchen die Daten zu "entschlüsseln", dann sind sie schlichtweg gelöscht. Ich gebe mal meinen Link zu den Gebrauchtlizenzen an.. außerdem ist da gleich der zweite Anbieter solcher OEM Lizenzen genannt: Gebrauchtsoftware: Politik der Nadelstiche | heise resale |