Deutscher Nachtfaden

Huhu! Ich bin auch wieder dabei!

Schön dich hier zu sehen. Wie geht's denn so?

nicht kryptoanon hier

99% der ransomware kommt aus den alten sowjetrepubliken. mitten in sibirien oder im hintersten winkel weißrusslands gibt es wenig jobs und die vadims und artyoms sind nicht doof also machen sie so etwas

...

Ist das bei dem Spiel eben passiert?

In meinen Augen eine absehbare Konsequenz. Kann das schon verstehen. Ich befinde mich am untersten Ende der Gesellschaft und habe selbst schon mit dem Gedanken gespielt mit Computerkriminalität Geld zu machen. Man muss halt sehen wo man bleibt...

nein, aber so ein Schiri währe gut gewesen

Ich weiß ja nicht. Sicher sind die Ursachen in der Perspektivloskigkeit von denen zu Suchen aber eine Rechtfertigung für so einen Mist ist das noch lange nicht!

Richtig. Ich habe ja auch nicht versucht das zu rechtfertigen, ich habe nur gesagt das ich verstehen kann wie es zu sowas kommt!

sind die letzten 6 tage die wir entschlüsseln müssen.

etwas über 720GB an daten.

hoffentlich nicht

warscheinlich in weissrussland, da sitzt zumindest ein server der von dem trojaner kontaktiert wird um bitcoin addressen herunterzuladen und einen hash hochzuladen.

aber der ist warscheinlich auch nur gekapert.

interessant ist das funktionsprinzip des der crypto:

jede datei wird einzelnd verschlüsselt und mit einem anhang versehen der steuerinstruktionen für die entschlüsselung und einen hash der ursprünglichen datei enthält.

zudem wird in jedem ordner eine datei mit zahlungsaufforderung erstellt.
zahlung soll via bitcoin erfolgen.

der trojaner selber besitzt keine entschlüsselungsfunktion.

die bekommt man wohl erst gegen bezahlung.

der algorithmus ist sehr untypisch.

zuerst wird eine rundenanzahl für jede datei, dann werden aus dem master key entsprechend viele rundenschlüssel und substitutionsboxen erzeugt.

dann erfolgt xor mit schlüssel und substitutionen.

anschliessend wird alles gemischt in abhängigkeit vom rundenschlüssel.

der master schlüssel wird zufällig erzeugt durch eine uns unbekannte hashfunktion georgelt und anschliessend als hash an die dateien angehängt.

zudem überschreibt der trojaner nicht belegten speicherplatz und löscht und überschreibt sich dann selbst.
durch einen fehler bei der erzeugung des master schlüssels haben wir den rekonstruieren können. dann haben wir den trojaner analysiert und jetzt müssen wir noch die verschlüsselung umkehren.

aber ein teil der daten wird wohl beschädigt sein weil der autor mist gebaut hat.

>aber ein teil der daten wird wohl beschädigt sein weil der autor mist gebaut hat.
Ja du erwähntest bereits das bei allen Dateien 3 Bytes am Ende fehlen werden...

also auch wenn ihr die bitcoins abdrücken würdet, würdet ihr nicht alles zurückbekommen? Ist es nicht normalerweise so, das die jungs sich nach dem baukastenprinzip bedienen und viele kryptotrojaner ähnlich sind?

Je nach Betrieb sind 6 Tage schon echt heftig, das könnten tausende Arbeitsstunden sein.

Ich hab keine Ahnung vom Programmieren aber das drumherum ist immer wieder interessant.

es fehlen nicht 3 byte pro datei, sondern 3 pro block, bei einer blockgrößse von 256 byte.

und die fehlen nicht, sondern die sind fehlerhaft.

zum glück nur in dateien die mit einer rundenanzahl verschlüsselt wurden die durch vier teilbar ist.

richtig.
ja normalerweise sind die ähnlich, aber hier hat sich jemand mühe gegeben und was eigenes geschrieben.
das sind einige hundert arbeitsstunden aber auch sehr wichtige noch nicht ausgewertete daten auf die wir angewiesen sind.