Zitat:

Zitat von markusg

noch mal, es gibt keine möglichkeit der entschlüsselung, es gibt keine fehler bei der implementierung der verschlüsselung

Papperlapp Markus, ihr seid nur faule Hunde und weil ihr den Fehler nicht nach zwei Minuten gefunden habt, kommt jetzt diese Schutzbehauptung, es gäbe ja keine Fehler in der Implementierung

Zitat:

also die hoffnung auf entschlüsselung kann man getrost begraben :-(

Pah zu faul zum Suchen sag ich da!

Zitat:

und, die andauernden hinweise auf backups sind richtig. wenn einige es nicht lernen wollen, ist es ihr problem, dann merken sies vllt beim zweiten oder dritten mal. der rest hatt dann wenigstens beim nächsten mal glück

Wer Ordnung hält ist bloß zu faul zum Suchen
Und wer Backups macht und ist nur zu faul die Daten nochmal zu erstellen bzw. zu entschlüsseln....ja so siehts nämlich aus!

Ueber die Verschluesselung haette ich doch gerne geredet. An welchem Punkt seid ihr ausgestiegen? Welche Ansaetze habt ihr verfolgt? Vielleicht finden mehrere Augen ja doch noch was?

nicht nur "wir" sind ausgestiegen, sogar sämmtliche hersteller von av-software analysen etc gibts zuhauf
vllt suche ich sie bei gelegenheit mal raus, aber google müsste dir da schon weiter helfen

Naja, ich glaube nicht, dass mir Google hilft, eure Ansaetze zu finden. Das war ernst gemeint, dass ich mir das gerne mit Euch anschauen wuerde.
ich habe zu dem Thema mehr Ideen als Zeit, aber vielleicht habt ihr ja auch das schon probiert und es lohnt sich nicht fuer mich?

kannst dir ja mal zum anfang das hier:
Verschlüsselungs-Trojaner, Hilfe benötigt - Delphi-PRAXiS
durchlesen

Dann wuerde ich mal bis zum Ende gehen von diesem Thread.

Zwischen rein lesen koennte es auch tun.

Woher wisst Ihr eigentlich so genau dass der Trojaner überhaupt noch verschlüsselt ?

Angesichts des Verlaufs "der Epidemie" habe ich folgenden Verdacht:

Die Gauner hatten ursprünglich vor bei Bezahlung die Dateien zu entschlüsseln und den Rechner freizugeben (immerhin hatte jeder Trojaner den Entschlüsselungsschlüssel auf der Platte platziert). Dann scheint irgendetwas mit dem Entschlüsselungsmechanismus schief geganen zu sein (jedenfalls habe ich von keinem Fall gehört in dem der Trojaner selbst entschlüsselt hätte), aber die Bezahlungen kamen trotzdem rein.

Irgendwann bemerkten sie dass die AV Hersteller und auch Ihr Entschlüsselungsprogramme zur Verfügung stelltet...

Wer sagt dass der Trojaner- da anscheinend genügend Opfer eh bezahlen- nicht die ersten Kbytes einfach mit Zufallszahlen überschreibt ?

Diese "Verschlüsselung" wäre dann wirklich unknackbar.

Mein "Backup" System ist übrigens wie folgt: USB Platte immer eingesteckt, aus Energiespargründen aber per Schalter vom Stromnetz getrennt (mal sehen wie ein Trojaner das knacken will).

Wenn wichtige Daten anfallen schalte ich die Platte ein, kopiere die Daten drauf, schalte sie wieder aus, fertig ist.

Das unter Linux... ich glaube so lange mir nicht gerade die Bude abbrennt langt das...

welchen post meinst du, du könntest den schlüssel zwar bruteforcen das würde aber wohl einige jahre dauern.

Allgemein.. wenn die Gauner eh nicht vorhaben die Daten zu entschlüsseln- selbst wenn das Opfer bezahlt.. dann können sie statt zu verschlüsseln doch einfach Zufallszahlen über die Dateien schreiben...

Merkt man eh nicht.. solange nicht jemand den Trojaner "reverse engineered"...

Zitat:

Zitat von W_Dackel

Wer sagt dass der Trojaner- da anscheinend genügend Opfer eh bezahlen- nicht die ersten Kbytes einfach mit Zufallszahlen überschreibt ?

Diese "Verschlüsselung" wäre dann wirklich unknackbar.

Das stelle ich mal als falsch hin. Generell ist jede Verschluesselung, die Du mit einem handelsueblichen PC erzeugst nichts anderes als eine Kette von Pseudozufallszahlen.
Nur eben dass Algorithmen wie RC4 oder AES das eben erheblich besser machen als uebliche Zufallsgeneratoren.
Waere ein ueblicher Generator verwendet worden, waere das gute Stueck laengst geknackt.

Einen großrechner benutzen, Gray, Mainframe rechner, Cluster, oder wie immer sie auch heißen, und damit diesen Code brechen.

Dieser Code, oder auch ein anderer Code, mußt doch irgendwie hinterlegt sein, um ihn zu verstehen, bzw. einen Text, Programm zu verschlüßeln, und da muß es doch auch Wege zurück geben, also der Code muß doch irgendwie bekannt sein. Ich gehe von diesen Weg aus, ich tuhe was verschlüßeln, dan kann ich das ganze auch wieder zurück führen.

Ok, da steckt höhere Mathematik dahinter, nehem ich an.

Nun ja, vielleicht ein bischen sehr naiv gedacht von mir, aber ich wollte halt auch was dazu einbringen. Wahrscheinlich was dummes.

THN

Zitat:

Zitat von markusg

welchen post meinst du, du könntest den schlüssel zwar bruteforcen das würde aber wohl einige jahre dauern.

Ich wuerde es ja gerne mal versuchen. Sollte einer der Betroffenen einen Intel Prozessor (nicht i3/5/7) haben kann er sich gerne bei mir melden.

Zitat:

Zitat von TrojanerHunterNEW

Einen großrechner benutzen, Gray, Mainframe rechner, Cluster, oder wie immer sie auch heißen, und damit diesen Code brechen.

Dieser Code, oder auch ein anderer Code, mußt doch irgendwie hinterlegt sein, um ihn zu verstehen, bzw. einen Text, Programm zu verschlüßeln, und da muß es doch auch Wege zurück geben, also der Code muß doch irgendwie bekannt sein. Ich gehe von diesen Weg aus, ich tuhe was verschlüßeln, dan kann ich das ganze auch wieder zurück führen.

Generell richtig, die Problematik ist nicht das Entschluesseln sondern die dafuer benoetigte Zeit. Wenn diese absehbar einen bestimmten Rahmen ueberschreitet, wird das ganze als unknackbar angesehen. Bei hochsicheren Verschluesselungen reicht das allerdings nicht. Weil ja doch jemand einen Zufallstreffer landen koennte. Dort muss dann mit zusaetzlichen Methoden sichergestellt werden, dass auch ein Zufallstreffer nicht ausreicht.

@
bombinho

Noch einmal, derjenig der das uns eingebrokt hat weiß genau wie dieser Code funktoniert, ich nehme nicht an das er den selber erfunden hat. Somit muß man das irgendwie rückgaännig machen können. Verschlüßeln geht schnell, aber der andere Weg....???

THN

Zitat:

Zitat von TrojanerHunterNEW

@
bombinho

Noch einmal, derjenig der das uns eingebrokt hat weiß genau wie dieser Code funktoniert, ich nehme nicht an das er den selber erfunden hat. Somit muß man das irgendwie rückgaännig machen können. Verschlüßeln geht schnell, aber der andere Weg....???

Davon darfst Du ausgehen, dass er weder den verwendeten Zufallsgenerator erfunden hat noch RC4. Rein theoretisch ist das auch ohne Bruteforcen zu knacken, leider ist das nichts, was ich mir alleine zutraue. Schon zeittechnisch nicht. Da waere eine MatheSpezi gefragt. Vielleicht kann ja Shadow aushelfen.
Es sind alle Vorzeichen gesetzt, wer sich mal ein wenig mit RC4 beschaeftigt hat, weiss das auch. (Es sind keine sicheren Parameter im Zufallsgenerator gesetzt. am rande) Auch wurde RC4 nicht nach gaengigen Sicherheitsrichtlinien implementiert. Soviel mal dazu.
Die Frage ist, wie man das ausnutzen kann. Einige Sachen konnte ich noch nicht an original verschluesselten Sachen ausprobieren. Bei anderen musste ich feststellen, dass die offensichtlichen Luecken nicht ausreichen oder ich die Parametrisierung vergurkt habe. Generell kann man aber eben auch Glueck haben auch wenn die Chance klein ist. Je mehr Lottospieler, desto hoeher die Wahrscheinlichkeit auf Gewinner.

@bombinho: das verstehst du falsch. Wenn ich die ersten 12 K deiner Dateien mit irgendeinem Schlüssel verschlüssele hast du mindestens prinzipiell die Chance diese Dateien wiederherzustellen. Sei es jetzt wenn ich dir den Schlüssel gebe, oder vielleicht in 20 Jahren wenn die Rechner so schnell sind dass "brute force" auf heutige Verschlüsselungsverfahren anwendbar sind.

Wenn ich die Daten einfach überschreibe.. mit Nullen, oder zur Tarnung mit Pseudo Zufallszahlen die allerdings mit dem Originalinhalt der Datei rein gar nichts zu tun haben.. dann kannst du bis ans Jüngste Gericht versuchen die Daten zu "entschlüsseln", dann sind sie schlichtweg gelöscht.

Ich gebe mal meinen Link zu den Gebrauchtlizenzen an.. außerdem ist da gleich der zweite Anbieter solcher OEM Lizenzen genannt:

Gebrauchtsoftware: Politik der Nadelstiche | heise resale