1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Ransomware: Datenkidnapping nach AES…

Technisch Falsch!

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Technisch Falsch!

    Autor: for great justice 01.02.13 - 21:12

    "Ein öffentlicher Schlüssel mit 1024-Bit RSA wird dabei einmalig erzeugt. Er wird für die Verschlüsselung genutzt und wiederum mit dem privaten Schlüssel der Erpresser verschlüsselt."

    Das ist natürlich unfug; falls die es so machen müssten Sie ein SCHLÜSSELPAAR erzeugen. Dabei muss man den Public Key (E) NICHT verschlüsseln und rechnet (AESKEY)^E mod N. Der erzeugte Private Key (D) müsste mit dem PUBLIC(!) Key der Erpresser verschlüsselt und abgespeichert werden.

    Aber warum so umständlich?! Warum bringt der Trojaner nicht einfach den Public Key (N, E) der Erpresser mit?
    Dann wird ein zufälliger AES Key generiert, alles mit AES256 verschlüsselt und abschließend der AES Key mit RSA verschlüsselt und in (C) abgespeichert.
    C = AESKEY^E mod N

    Wer seine Daten haben möchte meldet C an die Erpresser, und die rechnen
    AESKEY = C^D mod N, mit ihrem Erpresser Private Key (N, D) und senden AESKEY zurück ans Opfer :)

    Jetzt könnte man meinen D ist berechenbar, wenn auch nur ein Opfer zahlt.
    D = Log(AESKEY) zur Basis C im Restklassenring N, nur gibt es kein Lösungsverfahren zum sog. Diskreten-Logarithmus...

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: Technisch Falsch!

    Autor: gardwin 01.02.13 - 21:22

    richtig, ich habe das etwas einfacher ausgedrückt, als Quelle

    http://nakedsecurity.sophos.com/2012/09/14/new-technique-in-ransomware-explained/

    verwendet, da steht es auch richtig.

    Gardwin

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: Technisch Falsch!

    Autor: wombat_2 02.02.13 - 03:53

    *******

    Das Ding verschlüsselt die Daten auch nicht vollständig, sondern nur den Header, würde bei 1293290482394 Daten im Ordner "Eigene Dateien" sonst auch Jahre dauern bevor er sich zeigt.
    Es ist perfide.
    Allerdings muss man den "Entwicklern" ein Funken Menschlichkeit zu schreiben, da in den Dingern, die ich untersucht habe die Möglichkeit enthalten war, die Dateien nach Zahlung wieder zu entschlüsseln, in dem der Key vom Server rausgegeben wird. Problem dabei nur, nach der Zahlung wird zwar das "Geld" mit höchster Priorität an die Server weitergeleitet, aber der Key zum entschlüsseln nicht, da der Server überlastet ist. Tja...
    Btw. in der Version die ich mach vor 'ner Weile in die Hände bekommen hatte wurde der ganze Foo über HTTPS verschickt an ein PHP-Script, dass 'n MySQL-Entry erstellt hat.



    1 mal bearbeitet, zuletzt am 02.02.13 11:37 durch ap (Golem.de).

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: Technisch Falsch!

    Autor: owmelaw 02.02.13 - 10:18

    Verstehen Sie den Unterschied zwischen "IT-News für Profis" und "News für IT-Profis"? Der Artikel liefert Ersteres, Sie erwarten Letzteres. Ich hoffe ich konnte Ihr Verständnisproblem lösen. Schönes Wochenende noch!

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: Technisch Falsch!

    Autor: homilolto 02.02.13 - 11:34

    Köstlich, wie sich jeder gleich wieder in seinem Profi-Image gekränkt fühlt.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: Technisch Falsch!

    Autor: owmelaw 02.02.13 - 17:33

    Die von mir beanstandetete Aussage ist mittlerweile von Golem duch Sternchen ersetzt worden, womit unsere Beitrage mehr oder weniger hinfällig sind.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Re: Technisch Falsch!

    Autor: for great justice 02.02.13 - 18:49

    Nach wie vor falsch:
    "Aktuelle Versionen der Malware, die unter dem Namen Citadel, Reveton oder Troj/Ransom kursieren, sind inzwischen weit ausgeklügelter, wie die Sicherheitsexperten bei Sophos sagen: Die Ransomware nutzt dabei asymmetrische Schlüssel. Ein öffentlicher Schlüssel mit 1024-Bit RSA wird dabei einmalig erzeugt. Er wird für die Verschlüsselung genutzt und wiederum mit dem privaten Schlüssel der Erpresser verschlüsselt. Dieser liegt auf den Servern der Erpresser und nur damit lassen sich die Daten wieder entschlüsseln."

    Der Sophos Post wird vollkommen falsch zitiert!
    Sophos schreibt:
    * Die Malware generiert einen symmetrische Schlüssel (AES Key)
    * Die Malware enthält den RSA Public Key des asymmetrische Schlüssels
    * Die Malware verschlüsselt den AES Key mit dem Public Key per RSA
    * Nur die Erpresser kennen den RSA Secret Key (und können damit den AES Key entschlüsseln)

    Was Golem schreibt ist verwirrend & falsch.

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen

Fehlender Cache verursacht Ruckler: Nvidias beschnittene Geforce GTX 970 stottert messbar
Fehlender Cache verursacht Ruckler
Nvidias beschnittene Geforce GTX 970 stottert messbar
  1. IMHO Juhu, DirectX 12 gibt's auch für Windows-7-Besitzer
  2. Geforce GTX 965M Sparsamere Alternative zur GTX 870M
  3. MFAA Nvidias temporale Kantenglättung kann mehr

Glibc: Ein Geist gefährdet Linux-Systeme
Glibc
Ein Geist gefährdet Linux-Systeme
  1. Tamil Driver Freier Treiber für ARMs Mali-T-GPUs entsteht
  2. Red Star ausprobiert Das Linux aus Nordkorea
  3. Linux-Jahresrückblick 2014 Umbauarbeiten, Gezanke und Container

Onlinehandel: Welche Versand-Flatrates sich nicht lohnen
Onlinehandel
Welche Versand-Flatrates sich nicht lohnen
  1. Quartalsbericht Amazons Ausgaben steigen auf 28,7 Milliarden US-Dollar
  2. Amazon Original Movies Amazon will eigene Kinofilme kurz nach der Premiere streamen
  3. Ultra-HD Amazons 4K-Videos vorerst nur für Smart-TVs

  1. Dying Light: Performance-Patch reduziert Sichtweite
    Dying Light
    Performance-Patch reduziert Sichtweite

    Mehr Bilder pro Sekunde durch schlechtere Distanzdarstellung: Techlands Update für Dying Light verringert die Sichtweite und entlastet den Prozessor. Auf dem PC sieht das Zombie-Spiel weiterhin besser aus als auf den Konsolen, wo die Playstation 4 Vorteile hat.

  2. Project Tango: Googles 3D-Sensor-Konzept verlässt Experimentierstatus
    Project Tango
    Googles 3D-Sensor-Konzept verlässt Experimentierstatus

    Das Team von Project Tango wechselt von der Experimentierabteilung ATAP zum Google-Hauptkonzern: Damit dürfte die weitere Entwicklung von Smartphones und Tablets, die aktiv ihre Umgebung scannen und in Echtzeit darstellen, gesichert sein.

  3. Messenger: Telefoniefunktion für Whatsapp erreicht erste Nutzer
    Messenger
    Telefoniefunktion für Whatsapp erreicht erste Nutzer

    Erst der Web-Client, jetzt die Möglichkeit zu telefonieren: Offenbar erreicht die neue Telefoniefunktion von Whatsapp erste Nutzer. Das Feature wird allerdings nicht flächendeckend freigeschaltet, sondern wie Android-Updates schrittweise.


  1. 21:26

  2. 15:28

  3. 13:52

  4. 12:47

  5. 12:42

  6. 12:22

  7. 10:05

  8. 09:01