Ich hab mich eh immer gefragt, warum das Ding Internet braucht.

Und jetzt wo sies endlich geschafft haben benutzen alle den gleichen Schlüssel.
Mit so wenig Plan möchte ich auch mal an so viel Geld kommen.

Klausens schrieb:
--------------------------------------------------------------------------------
> Und jetzt wo sies endlich geschafft haben benutzen alle den gleichen
> Schlüssel.
> Mit so wenig Plan möchte ich auch mal an so viel Geld kommen.

Wenn du scheinbar so viel Plan hast, dann kannst du uns doch mal erklären, wie du das machen würdest. Schließlich müssen die Erpresser den Opfern ja nach der Bezahlung ja auch einen Code aushändigen, der die Daten wieder entschlüsselt. Vorschläge?

Das müssen sie jetzt auch schon. Was ändert sich da?

Klausens schrieb:
--------------------------------------------------------------------------------
> Das müssen sie jetzt auch schon. Was ändert sich da?

Wie soll das möglich sein, wenn es nicht ein bestimmter Schlüssel ist. Woher wissen die Erpresser, welcher Schlüssel für den Offline-Rechner nötig ist?

Du kriegst eine Trojaner.exe mit einem fest einkodierten öffentlichen RSA-Schlüssel der Erpresser.
Die wird gestartet und erzeugt random ein Passwort (sagen wir 'Fuzzlbrumft').
Mit diesem Passwort werden alle Dateien auf der Platte mit AES verschlüsselt.
Das Passwort wird nun mit dem öffentlichen RSA-Schlüssel verschlüsselt. (nennen wir es RSA-PASS)
Wenn du deine Daten entschlüsseln willst rufst du eine URL auf
www.encrypt_my_files.irgendwas/RSA-PASS
Die Erpresser entschlüsseln RSA-PASS mit ihrem privaten RSA-Schlüssel und sagen dir:
"Fuzzlbrumft"!
Fertig

Ah ja, eine URL aufrufen - bei einer Offlinefunktion. Hmm, irgendwo ist da ein Fehler, aber ich komme nicht drauf.

Wenn die Daten verschlüsselt sind, ist man wohl gewillt, mit dem Rechner wieder online zu gehen. Wie ist denn Trojaner da überhaupt draufgekommen?

Du kannst ja auch mit einem anderen PC das Geld bezahlen.

wieso müssen sie ? Verschlüsseln abkassieren und der User ist der Dumme ...
der darf hoffen das er nach Zahlung nen Key bekommt, mehr aber auch ned ;p



1 mal bearbeitet, zuletzt am 15.07.16 14:35 durch serra.avatar.

Tja willst du den Schlüssel zum entschlüsseln musst du das wohl lösen ;p ist doch dein Problem nicht das des proggers ... draufgekommen ist der Virus ja auch irgendwie ...

Ja, das könnten sie machen, aber das wäre für das Modell ziemlich schädlich. Auch wenn man immer davor warnt, scheinen die Täter meistens wort zu halten. Deshalb entscheiden sich so viele Betroffene den "leichten Weg" zu gehen, selbst welche, die etwas Ahnung haben von der Materie.

Das ganze ist auf professionelle Entwicklung, Weiterverkauf und Support ausgelegt und kein kleiner Cracker der von seiner Garage aus die Leute trollen will. Das ist big Business und soll noch eine Weile als Geschäftsmodell erhalten bleiben.

Ich weiß nicht, vielleicht hat man ja keine gute Möglichkeit wieder online zu gehen. Da fallen mir schon einige Szenarien ein, aber vermutlich sind das recht spezielle Situationen. Infizieren kann man sich jedenfalls über viele offline Möglichkeiten. Von Speichermedien bis hin zu einem lokalen Netzwerk kann ich mir hier viel vorstellen. Allerdings weiß ich nicht, wie gut die Verschlüsselungstrojaner hierauf ausgelegt sind.

Allgemein finde ich die jetzt implementierte Offlinefunktion viel praktischer und somit vermutlich viel effektiver, als so ein komplizierter Mechanismus mit externem Schlüsselaustausch durch den User. Zumal das auch wieder Probleme mit der Strafverfolgung (Domain, usw.) nach sich zieht, die man sonst automatisiert über die Command&Control-Server einigermaßen überwinden kann. U.s.w.

Lieber das KISS-Prinzip. Einfache Funktionen, viel ROI.

PS: Jetzt fühle ich mich dreckig, weil ich mich so für solche Leute eingesetzt habe. Ich will das keineswegs gutheißen!

Qbit42 schrieb:
--------------------------------------------------------------------------------
> Allgemein finde ich die jetzt implementierte Offlinefunktion viel
> praktischer und somit vermutlich viel effektiver, als so ein komplizierter
> Mechanismus mit externem Schlüsselaustausch durch den User. Zumal das auch
> wieder Probleme mit der Strafverfolgung (Domain, usw.) nach sich zieht, die
> man sonst automatisiert über die Command&Control-Server einigermaßen
> überwinden kann. U.s.w.

Nun dieses Offline-Problem lässt sich nicht einfach lösen. Entweder man kassiert Wochen und Monate erst ab, und gibt dann für alle den Schlüssel frei, oder man braucht eine individuelle Komponente des Nutzersystems, über die ein Schlüssel generiert wird. Nur müsste man dann verhindern können, dass der Code gelesen werden kann, dass Verfahren muss verschleiert werden. Das schränkt die Möglichkeiten der Programmiersprachen deutlich ein, und ist generell schwer umzusetzen. Würde daher die erste Variante bevorzugen, zumal man mit mehreren identischen Trojanern, mit je anderen öffentlichen Schlüsseln arbeiten könnte, um dem Problem entgegenzuwirken, dass ein Schlüssel alle befreien kann. Mehr Aufwand aber wie soll das sonst laufen.

Ja, in der Tat habe ich bereits über ganz ähnliche Ansätze nachgedacht und man könnte da sicher noch einiges optimieren. Ich finde auch die Aussage mit nur einem Key nicht wirklich haltbar, aber das Prinzip stimmt schon. Ich will auch nicht behaupten, dass es hier keine Lösung gibt, aber die Entwickler hinzustellen, als hätten sie keinen Plan, ist lächerlich und lässt tief blicken.