Zitat:

Zitat von W_Dackel

@bombinho: das verstehst du falsch.
Wenn ich die Daten einfach überschreibe.. mit Nullen, oder zur Tarnung mit Pseudo Zufallszahlen die allerdings mit dem Originalinhalt der Datei rein gar nichts zu tun haben.. dann kannst du bis ans Jüngste Gericht versuchen die Daten zu "entschlüsseln", dann sind sie schlichtweg gelöscht.

Jupp, gebe ich zu, hatte ich einen Haenger. Du hast recht.
Wissen wir aber in dem Fall dass dem (noch) nicht so ist.

Der Malware-Autor braucht nur mit einer sicheren Implementation zu antworten und den Zufallsgenerator abdichten, ein paar Bits und Bytes aendern und schon hat sich das Thema ohnehin erledigt fuer zukuenftige Betroffene. Da macht es herzlich wenig Unterschied ob das bloss mit Nullen ueberschrieben wird oder mit einer ausgereiften Verschluesselung.

Allerdings duerfte bei Bekanntwerden, dass nur ueberschrieben wird auch die "Zahlungsmoral" deutlich abnehmen.

Eines finde ich interessant, der vorliegende Code enthaelt einige Massnahmen fuer eine hoehere Schluesselsicherheit welche nicht aktiviert sind. Keine Ahnung ob das ein Programmierfehler oder Absicht ist.

Niemand, der mir zur Hand gehen mag?
Oder noch alle beschaeftigt, die alten Ergebnisse rauszukramen?

Wieder jemand ohne Backup?

Zitat:

Zitat von stefanbecker

Wieder jemand ohne Backup?

Schick ihn gleich zu einem neuen Thread, so dass ihm weitestgehend geholfen werden kann.

Zitat:

Zitat von bombinho

Schick ihn gleich zu einem neuen Thread, so dass ihm weitestgehend geholfen werden kann.

Vllt kannst einem TO ohne Backup ja auch bei der indivuellen Entschlüsselung helfen. Willst du der neue persönliche Kryptohelfer werden? Sind Sie der Kryptochef (persönlich!)

hab keine daten mehr momentan
musst halt mal in ner vm selbst so ein sample starten

Hab ich doch schon laengst gemacht. Was ich auf der VM verschluessele bekomme ich auch wieder. Wenn ich mit dem Nachbau verschluessele, komme ich sehr schnell auf Ergebnisse.

Hast du auch VOLLBIT VERSCHLÜSSELT?

Zitat:

Zitat von cosinus

Hast du auch VOLLBIT VERSCHLÜSSELT?

Schick, ich gehe den selben Weg ueber MD5/RC4. Ich weiss nicht wass daran "Vollbit" sein soll. Aber vielleicht hast Du ja voellig andere Implementationen? Schick mal rueber.

Edit: Selbstverstaendlich den Zufallsgenerator nachgebaut zur Erzeugung.

Vielleicht nur posten, wenn man weiss wovon man redet?

hattest du dich bei Delphi-PRAXiS
angemeldet, ich weis das da einige an dieser methode gearbeitet haben, gab da aber nichts neues in der richtung.

Zitat:

Zitat von bombinho

Schick, ich gehe den selben Weg ueber MD5/RC4. Ich weiss nicht wass daran "Vollbit" sein soll. Aber vielleicht hast Du ja voellig andere Implementationen? Schick mal rueber.

Edit: Selbstverstaendlich den Zufallsgenerator nachgebaut zur Erzeugung.

Vielleicht nur posten, wenn man weiss wovon man redet?

Du verstehst den Insider halt nicht du Kryptochef
Google mal nach Kryptochef oder nach "vollbit verschlüsselung"

Ich weiss ja nicht, wieviel Du ueber Vollbit weisst aber nichts davon hat im Entferntesten mit der vorliegenden Verschluesselung zu tun.
Bisher habe ich hier noch nichts sinvolles gehoert uber diese Verschluesselung. Ausser "geht nicht", ohne Begruendung.
Und Kryptochef und Vollbit ist nicht Insider sondern schlichtweg Crackpot. Das das als witzige Einleitung einer nun erfolgenden Kommunikation ueber diese Verschluesselung gemeint war ist dann schon ziemlich schraeg. Aber bitte,

Zitat:

Ich weiss ja nicht, wieviel Du ueber Vollbit weisst aber nichts davon hat im Entferntesten mit der vorliegenden Verschluesselung zu tun.

Meine Ironie-Tags haste wohl überlesen

Zitat:

Bisher habe ich hier noch nichts sinvolles gehoert uber diese Verschluesselung. Ausser "geht nicht", ohne Begruendung.

Was meinst du jetzt? Das vom Kryptochef oder das vom Verschlüsselungstrojaner?
Falls es um den Letzteren gehen soll, wie oft soll man es dir eigentlich noch wiederholen?

Zitat:

Und Kryptochef und Vollbit ist nicht Insider sondern schlichtweg Crackpot.

Ich dachte erst du wärs der Kryptochef
Aber vllt kannst du ihn ja mal so ein Sample vom Verschlüsselungstrojaner schicken, vllt kriegt er das ja raus wo wir armen Würstchen ja alle versagt haben

Zitat:

Zitat von markusg

hattest du dich bei Delphi-PRAXiS
angemeldet, ich weis das da einige an dieser methode gearbeitet haben, gab da aber nichts neues in der richtung.

Ich habe keine Zeit mehr gehabt daran zu arbeiten.
Deswegen dachte ich ja, dass jemand hier vielleicht unterstuetzen koennte.

Ich bzw. meine Mutter wurde erneut damit infiziert, bitte um Hilfe.