Hacks, Cracks und Sicherheitslücken

Das FBI rät sogar dazu die Kohle zu bezahlen, da in der Regel die Entschlüsselung funktioniert.
Oder man befolgt den Rat unseres BSI, zahlt nicht, macht ein Foto von Bildschirm und erstattet Anzeige.:doh:
 
Darum haben in DE Inovative unternehmensgründungen kaum eine chance. Un den Staaten ist man eher ergebnisorientiert. in DE muss alles streng nach vorschrift laufen. selbst wenn alles den bach runter geht.:no_sad:
 
http://www.heise.de/newsticker/meldung/Erpressungs-Trojaner-verschluesselt-mit-PGP-3116677.html
[article]
Ein recht neuer Erpressungs-Trojaner erzeugt auf den Systemen seiner Opfer .trun-Dateien. Einer Analyse von heise Security zufolge handelt es sich dabei um PGP-verschlüsselte Daten.

Heise Security liegt der Quellcode einer noch nicht sonderlich weit verbreiteten Ransomware vor, die das Open-Source-Verschlüsselungs-Programm Gnu Privacy Guard, kurz GnuPG oder GPG missbraucht. GPG ist die wichtigste Implementierung des PGP-Standards; es gilt als hochsicheres Verschlüsselungs-Tool, an dem sich selbst die NSA die Zähne ausbeißen würde.

Die Meldung des trun-Trojaners im Wortlaut

ATTENTION!

All important files and information on this comuter (documents, databases, etc.) will be decrypted using a RSA cryptographic algorithm

Without special software decoding a single file with the help of the most powerful computers will take about a 20 years.
_____________________________
contact an expert on e-mail:trunhelp@yandex.ru .
Zum Vergrößern anklicken....

Der trun-Trojaner wird derzeit vor allem via Mail verbreitet. Er hat bereits erste Opfer gefunden; mit weiteren ist zu rechnen. Anders als bei Locky oder TeslaCrypt stellen die Erpresser nicht gleich Lösegeld-Forderungen, sondern bieten Hilfe durch "Experten" an. Letztlich wollen sie dann aber doch für die Entschlüsselung der gekaperten Daten Geld in Form von nicht zu ihnen verfolgbaren Bitcoins.

Es handelt sich bei dem Trojaner-Code im Wesentlichen um Skript-Dateien, die das Verschlüsselungsprogramm gpg.exe nachladen, damit Schlüssel erzeugen und dann anfangen, alle erreichbaren Dateien mit interessanten Daten damit zu verschlüsseln. Die Originale überschreibt der Trojaner mit den verschlüsselten PGP-Dateien, die dann die Endung .trun erhalten.

PGP-Schlüssel des trun-Trojaners
Den geheimen Schlüssel eines Pseudo-Benutzers Cellar, der erforderlich ist, um die Dateien wieder zu entschlüsseln, exportiert der Trojaner mit dem Kommando

gpg.exe -r Cellar --export-secret-keys
Anschließend verschlüsselt er diesen mit dem Befehl

gpg.exe -r kkkkk ... -o "%temp%\trun.KEY"
an einen Empfänger namens "kkkkk", dessen öffentlichen Schlüssel der trun-Trojaner mitbringt. Der zugehörige geheime Schlüssel befindet sich vermutlich im Besitz des kriminellen Erpressers. Um wieder an seine Daten zu kommen, fordert er die Datei trun.KEY des infizierten Systems an. Aus ihr extrahiert er dann mit diesem geheimen Schüssel den zum Entschlüsseln benötigten Cellar-Schlüssel.

teslacrypt-uac-b7b435c62a49163f.png

Trojaner-Alarm: Der Versuch Schattendateien zu löschen erzeugt eine Sicherheitsnachfrage, die man ablehnen sollte. Im übrigen versucht der trun-Trojaner wie auch TeslaCrypt mit Hilfe des Windows-Tools wmic.exe vom System angelegte Schattenkopien zu löschen. Dies muss jedoch mit Administrator-Rechten geschehen und erzeugt dank der Benutzerkontensteuerung (UAC) somit eine Sicherheitsabfrage. Sollte ein Rechner also aus heiterem Himmel um Erlaubnis für etwas wie ""shadowcopy delete" nachfragen, sollte man dies lieber ablehnen und sich auf die Suche nach einem möglichen Trojaner auf dem System machen.

Bericht eines trun-Opfers
Ein Opfer berichtete heise Security, dass er tatsächlich nach Zahlung von 1.3 Bitcoins, also umgerechnet etwa 500 Euro, den Schlüssel, eine Kopie von gpg.exe und ein Skript erhielt, mit dem es möglich sein sollte, die Dateien zu entschlüsseln.

In der gelieferten Batch-Datei decrypt.bat lauerte allerdings eine böse Falle. Durch einen Fehler bei der Übergabe des Laufwerksbuchstabens an die decode-Routine wurden die Dateien nicht entschlüsselt aber gelöscht! Erst nach einer Anpassung funktionierte das Skript wie versprochen.

Knacken unmöglich
Die Verschlüsselung des trun-Trojaners durch GPG erfolgt mit einem 1024-Bit-RSA-Schlüssel; sie dürfte in der Praxis nicht zu knacken sein. Die einzige Chance an die verschlüsselten Daten zu kommen, ist der geheime Schlüssel.

Achtung: Wer das Trojaner-Skript rechtzeitig abbricht, findet den geheimen Schlüssel eventuell noch im Ordner %temp% (unter AppData\Local\Temp). Selbst wenn der Trojaner sie gelöscht hat, können Experten ihn unter Umständen mit Wiederherstellungs-Tools wie Recuva noch retten. Diese Chancen werden jedoch geringer, je länger der Computer nach der Infektion noch genutzt wurde; bei SSDs stehen sie generell eher schlecht.
[/article]
 
traurige Tatsache: es wird nicht besser. Aktuell gehen halt alle auf Cryptwars ab. ich denke da wird es balt heuristische upgrades (vermutlich gegen bezahlung :fies: seitens der AV-Industrie geben), die so ein verhalten erkennen und stoppen können. Auch MS sollte sich da was einfallen lassen, aber von denen wird kaum was brauchbares kommen. ich sag nur Einfallstor MAKROS. das problem wird doch schon seit den 90ern bemängelt.
 
Mit dem Defender auf den Clients und in Kombination mit SOPHOS an Gateways erschlägst du alles an Malware, was ins Unternehmen will. Makros sind ein Thema, liegt aber leider auch daran, dass die Nutzer/Developer da teils einen Mist zusammenschustern ...
 
Itrocket schrieb:
12798909_961398140618272_5024529863529121164_n.jpg
Zum Vergrößern anklicken....

So ganz habe ich das Problem nicht verstanden, es lässt sich doch jeder Speicher erstmal auslesen, egal ob verschlüsselt oder nicht? Oder sind die Chips der iPhones so programmiert, dass sie die Daten löschen, sobald eine unauthorisierte Anfrage nach Daten kommt?

Sobald ich die Daten einmal ausgelesen sind, kann ich doch soviele Attacken zum entschlüsseln starten wie ich will, befindet sich doch alles außerhalb des iPhones.
 
Nö, du hast zwar Daten, aber du kannst nicht entschlüsseln was sie bedeuten. Somit nützen dir die Daten null. Die Daten werden hardware und firmwareseitig verschlüsselt, weshalb es wohl extrem mühsam ist da ran zu kommen.
 
Wertlos sind die Daten nicht, aber ich habe meine Antwort schon gefunden, die im Speicher abgelegten Daten sind mit einem 256-Bit AES Schlüssel gesichert.
Die Frage ist nur, hat das FBI die entsprechenden Server um mit Brute Force alles durchzuprobieren oder haben sie die entsprechenden Schlüssel aus dem iPhone auslesen können.
 
Es gibt einen zufälligen im Memory-Bereich abgelegten string, den man finden muss für die Entschlüsselung. Das ist "nur" sehr zeitaufwendig und erfordert jemanden, der das schon gemacht hat, um den string als solches zu erkennen. IMHO muss dieser aber im Dev.-Team bei Apple angestellt gewesen sein. Durch Try & Error wird das nix.
 
Vorhin hat mir eine Mitarbeiterin eine Mail weitergeleitet, da ein Anhang rausgefiltert wurde.
Was will man mit solchen Mitarbeitern machen ausser ihnen keine Dateien durchzulassen? Keine Minute mitdenken...


-----Ursprüngliche Nachricht-----
Von: DTC Workshop [mailto:workshop@digitaltachocentre.co.uk]
Gesendet: Montag, 11. April 2016 11:29
An: xxxxx
Betreff: Emailing: M_20150401_0729_AY56EMF __XLRAE55CF0L324298


Mailgateway sagt zum Anhang:

Your message is ready to be sent with the following file or link
attachments:
M_20150401_0729_AY56EMF __XLRAE55CF0L324298
Eine Datei hat den Antiviren-Scanner ausgelöst.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten