Hallo Leute!

Ich arbeite gerade neben "Secure Banking" an einem Backup Tool was gezielt die Schäden vom Verschlüsselungs-Trojaner beheben soll.

Vorrausgesetzt ist natürlich, dass das Tool VOR der Infektion bereits installiert war.

Zitat:

Testlauf von einem Backup (Eigene Videos, Eigene Musik, Eigene Bilder, Eigene Dokumente):

Gesamt: 18.185 Dateien -> 33,7 GB
Backupgröße: 180MB!!! -> Dauer ca. 30min (CPU/RAM abhängig)

Sobald das erste "große" Backup abgeschlossen ist, läuft das Tool im Hintergrund und erstellt automatisch Backups von neuen Dateien.
(Dabei werden dann sogut wie keine Resourcen benötigt)

Ist man dann mit dem Trojaner infiziert, kann man problemlos alle Dateien wiederherstellen. (in meinem Bsp. 33,7 GB an Dateien mit einem Backup was nur 180MB groß ist)

Dank eines speziellen Algorithmus ist es möglich, die verschlüsselten Dateien wiederherzustellen, unabhängig davon ob die ersten XX KB verschlüsselt sind, oder die letzten XX KB oder sogar irgendwo dazwischen der verschlüsselte Block liegt.

Die Frage ist natürlich, wie lange die Welle dieses Trojaners anhält und ob es sich lohnt, die Entwicklung dieses Tools aufrecht zu halten.

Was denkt Ihr? Wer von euch würde sich so ein Tool installieren?

Wie verhinderst du dass der Trojaner dein .exe und die Sicherungsdateien die es erstellt einfach mitverschlüsselt ?

Edit: als Linuxnutzer würde ich das Tool nicht installieren, kann mir aber vorstellen dass es den einen oder anderen interessieren würde... nur eben, wie verhinderst du dass der Verschlüsselungstrojaner das Tool außer Gefecht setzt... ?

Aus Interesse: ist das eine Art Prüfsummenverfahren ? Wie viel Prozent einer Datei darf der Trojaner verschlüsseln damit dein Tool sie trotzdem wiederherstellen kann ? Ich finde den Ansatz jedenfalls beeindruckend...

Hallo, gute Idee dazu.

Aber für mich stellt sich eine ganz andere Frage, oder Problem damit, es wurde doch schon des öfteren beschrieben, das man diese Malware herunter bekommt vom betroffenen System, aber man hat halt auch das Problem das diverse Dateien wie, Bilder, Worddokummente, MP3 ,usw nicht mer brauch bar sind. Also verschüsselt sind, und bleiben, wen es keine rettung dazu geben wird, oder gibt. Ist das richtig so ?

Also verschüßelt, nicht mer baruch bar, und wahrscheinlich nicht mer herzustellen, das ganze ?

Weit aus holen ich muß:

Zu verschlüßelung, der vwerschiedenen Dateien:

Ist doch mit irgendeinen Code versehen, wird viel Marthematik dabei mit spielen, ist der noch nicht veröffentlicht worden ? So das man weiß wie die Sache leuft ? Und so das man das wieder herstellen kann ...?

Oder so was aufsetzen, SETI@home oder Folding@home - HomePage und so dan vielleicht mit der computerclustering variante den code zu knacken.

Ok, vielleicht ganz und gar an den Thema vorbei, OT, oder absulut lächerliches posting von mir.

THN

Hey Leute!

Also ich arbeite erst seit kurzem an diesem Tool, deshalb ist mein Wissen über diesen Trojaner auch noch begrenzt!
*Vorsicht - Halbwissen*
Ich war bis jetzt immer der Auffassung dass der Trojaner nur Dokumente (Bilder, Musik, etc) angreift. Sprich mein Backup was sich im Programme-Verzeichnis befindet bliebe sauber.
Sei/ist das nicht der Fall hätte ich noch folgende "Asse" im Ärmel:
- Backup Datei vor Modifizierung schützen (Handle nicht freigeben)
- Backup in eine Cloud (dafür müsste man halt ein paar Cents löhnen)

Das Tool ansich könnte man ja nach einer Infektion erneut runterladen, es geht ja nur um die Backup Datei.

Zum Verfahren: Desto größer das Backup, desto mehr darf beschädigt sein. Für genaue Zahlen müsst ich erst ein paar Tests anstellen.
Jedenfalls reicht eine 18Kb große Sicherung für eine Modifikation von 12KB aus.

@THN: Die Dateien würden anhand eines zuvor erstellten Backups wiederhergestellt werden.
Also keine Mathematik. ^^

Morgen!

Mal was ganz anderes....

Wer von den leuten der sich mit dem Verschlüsselungstrojaner infiziert würde sich vorher so ein programm installieren??

Soweit ich weiss verteilt sich dieser Trojaner doch nur über eine Fake mail und deren Anhang den man downloaden muss.

Jeder der sich ein bisserl auskennt würde nie so einen Anhang downloaden oder?

Viele Normalsterbliche sind aber zu unwissend oder Naiv, sieht man ja hier im Forum...
Naja und von denen würde sich sicher keiner vorher dein Tool installieren

Also ich denke mir ein Tool das man vorher schon drauf haben muss ist total daneben auch wenn deine Idee ganz gut ist!
Jemand der dein Tool benützen würde, würde sich auch nie mit diesem Trojaner infizieren, denn jemand der dein Tool kennt, kennt auch den Trojaner und wie er arbeitet

Hallo reggie!

Zitat:

Zitat von reggie

Also ich denke mir ein Tool das man vorher schon drauf haben muss ist total daneben auch wenn deine Idee ganz gut ist!
Jemand der dein Tool benützen würde, würde sich auch nie mit diesem Trojaner infizieren, denn jemand der dein Tool kennt, kennt auch den Trojaner und wie er arbeitet

Da wirst du wohl z.T. Recht haben.

Ich hätte mir da gedacht, das Tool als optionales Feature in Secure Banking einzubauen.

Sofern ich sehe, dass auch Nachfrage besteht. Was aber momentan nicht der Fall ist. :P