Verschlüsselte Dateien entschlüsseln
 

Nachdem nun auch bei mir ein Trojaner - Ransom-HS oder Madrop-EKB - Dateien verschlüsselt hat (Namen und Inhalt), möchte ich mich mit dem Thema Verschlüsselung etwas genauer beschäftigen. Kann mir in diesem Forum jemand ein paar geeignete Links posten, wo ich - rein aus programmiertechnischer Sicht - etwas mehr zum Thema Verschlüsselung erfahren kann.
Zum Beispiel:
- welche bekannten Verfahren gibt es, um aus einem String mit Hilfe eines 2.Strings (Schlüssel) den verschlüsselten String zu erstellen (XOR kenne ich schon)

FraWe

Meine ersten Ergebnisse, beim Versuch, die verschlüsselten Dateien wieder herzustellen. Ansatz: XOR
1. Byte Original-Datei 80dez = 01010000
1. Byte verschlüsselte Datei 141 = 10001101
XOR-Wert ermitteln

01010000 Original
11011101 XOR
10001101 verschlüsselt
Gegenprobe:
10001101
xor
11011101
-----------
01010000

Jetzt habe ich das mit allen Bytes der Dateien gemacht.
Ergebnis:
- es sind nur die ersten 12288 Bytes verschlüsselt
- die nachfolgenden sind unverschlüsselt
- es gibt keine wiederkehrenden Folgen bei den XOR-Werten
- die XOR-Werte sind bei jeder Datei anders

D.h. wenn mit XOR verschlüsselt wurde, dann ist der Schlüssel 12288 Byte lang und pro Datei verschieden.

Ich vermute, dass der Trojaner nicht mit XOR die Bytes verändert.

Wer kennt noch andere Möglichkeiten, Bytes so zu ändern, dass man den Originalzustand wieder bekommen kann?

Sag uns unbedingt Bescheid, wenn du so ein Tool gefunden oder programmiert hast :rolleyes:

http://www.trojaner-board.de/117921-...tml#post851418