Fabian Wosar

Emsisoft Employee
  • Content count

    4767
  • Joined

  • Last visited

  • Days Won

    142

Fabian Wosar last won the day on January 18

Fabian Wosar had the most liked content!

Community Reputation

392 Excellent

2 Followers

About Fabian Wosar

  • Rank
    Forum Veteran
  • Birthday

Contact Methods

  • Website URL
    http://www.emsisoft.com
  • Skype
    fwosar

Profile Information

  • Gender
    Male

System Information

  • Operating System
    Windows 10
  • Firewall or HIPS Software
    Emsisoft Internet Security

Recent Profile Visitors

44476 profile views
  1. Es liegt nicht mal an der Erkennung, sondern an der Reinigung. Die 2 Misses sind "Partial Blocks", bedeutet wir haben beim Entfernen was uebersehen und die anderen Teile wurden erst nach einem Reboot entfernt. Kompromitiert wurde zwar nichts, allerdings zaehlt AV-T diese Dinge etwas strikter als AV-C.
  2. We usually handle License issues only via email, since we will need some personal information from you. I suggest you send an email to support@emsisoft.com. I am sure we can arrange something (like turn your license into a 4 PC license with 522 days).
  3. Just released a new version (1.0.0.33) that should fix the problem: https://decrypter.emsisoft.com/globeimposter Can you verify that this new version no longer truncates the last 16 bytes in some cases?
  4. Siehe meine Aussage davor: Moeglicherweise inkorrekte Endung.
  5. Sollten problemlos unterstuetzt werden: (Filetype: '/.XLS/'; Offset: 0; Signature: ($D0, $CF, $11, $E0, $A1, $B1, $1A, $E1, $00, $00, $00, $00, $00, $00, $00, $00); SignatureLength: 9), (Filetype: '/.XLSM/'; Offset: 0; Signature: ($50, $4B, $03, $04, $00, $00, $00, $00, $00, $00, $00, $00, $00, $00, $00, $00); SignatureLength: 4), (Filetype: '/.XLSX/'; Offset: 0; Signature: ($50, $4B, $03, $04, $00, $00, $00, $00, $00, $00, $00, $00, $00, $00, $00, $00); SignatureLength: 4), Wenn natuerlich die Dateiendungen nicht uebereinstimmen (z.B. eine XLSX Datei mit einer XLS Endung gespeichert wurde), dann ist der Decrypter nicht in der Lage das Format zu erkennen, weil nach den falschen Magic Bytes gesucht wird.
  6. As I said, opening that many handles at once causes issues on some systems. After that happens, the system is in an undefined state. That being said, the problem is not that the handles aren't freed, because they are, provided the system doesn't start acting all weird because too many handles have been opened. In either case, we switched it so we at most will open 2x the thread count of files during a scan task.
  7. The handles aren't leaked. They get freed up just fine. We just open up a lot of them at the same time in the first place, which on some systems causes issues. For the vast majority of our users, it doesn't cause any issues, and neither does it on any of our test systems.
  8. Das ist letztlich nicht so einfach. Jede Datei hat einen anderen Schluessel. Welcher Schluessel passt laesst sich nur ermitteln, indem ich mir das Resultat des Entschluesselungsprozesses fuer die Millionen an moeglichen Schluesseln anschaue um zu sehen ob das Ergebnis "Sinn" ergibt. Die Art und Weise wie das geschieht ist, dass ich die ersten 16 Bytes entschluessele und nach Formatspezifischen Magic Bytes suche. Der Decrypter erkennt letztlich ueber 4000 Dateiformate, aber das ist letztlich verglichen zu allen moeglichen Dateiformaten zu wenig. Dazu kommt, dass viele Formate gar keine Magic Bytes besitzen (Text Formate z.B.) oder aber die Magic Bytes schlicht zu wenige sind (Ist der Marker PK wie bei ZIP in den ersten 2 Bytes, hab ich eine 1:65536 Chance das da bei einem Key zufaellig PK raus kommt in den ersten 2 Bytes; bei einer Millionen Versuchen hab ich das nahezu garantiert einmal, was einem Fehlalarm entspricht und ich mit dem falschen Key decrypte). Theoretisch waere es ebenfalls moeglich die Keys basierend auf der Dateireihenfolge zu bestimmen. Allerdings ist das extrem riskant. Sollte irgendwo eine Datei fehlen, was dank dem "Optimierungswahn" von Leuten, die meinen CCleaner jeden Tag auszufuehren und der Tatsache, dass auch Temporaere Dateien verschluesselt werden koennen, durchaus der Fall ist, werden ab dem Punkt alle Dateien mit den falschen Schluesseln entschluesselt. Im Zweifelsfall kannst Du mir die Dateiformatspezifikationen der Dateiformate raussuchen, die dringend Notwendig sind. Dann kann ich dem Decrypter evtl. die Formate beibringen. Sollte dies allerdings nicht der Fall sein, kann ich leider nicht wirklich viel fuer Dich tun.
  9. Ich hab den Decrypter heute aktualisiert um die Variante die einen Mersenne Twister und SHA-512 benutzt um die Schluessel zu generieren zu entschluesseln: https://decrypter.emsisoft.com/nmoreira Die Variante wurde zwischen dem 29. November und 8. Dezember verbreitet. Alle Opfer die nach dem 8. Dezember kamen, sind hoechstwahrscheinlich von einer dritten Variante heimgesucht, die die Schluessel auf eine sichere Art und Weise generieren, die den im Decrypter genutzten Angriff unmoeglich macht. Sofern der Malware Autor also nicht seine privaten Schluessel leaked oder die Server von den Behoerden beschlagnahmt werden, werden weder ich noch sonst wer in der Lage sein diese dritte Variante zu entschluesseln. Bevor der Benutzung muss in den Optionen die korrekte Variante ausgewaehlt werden. Falls nicht bekannt ist, welche Variante die Dateien verschluesselt hat, kann man einfach an ein paar Bildern oder so testen.
  10. We have been able to reproduce this issue in the meantime. We have fixed the problem internally and hope to be able to provide a hotfix soon.
  11. Jede Anwendung die irgendeine Form von Eingabe verarbeitet ist letztlich ein zusaetzliches Risiko. Mehr Software bedeutet immer auch mehr Angriffsflaeche. Je komplexer die Aufgabe, je angreifbarer wird das ganze.
  12. Ist letztlich nichts neues und das Ganze Thema wird bei jedem neuen Taviso Bericht wieder aufgewaermt. Die Realitaet ist, dass Whitelisting nicht funktioniert, weil es bei weitem mehr legitime als Malware Dateien auf dem Planeten gibt. Wenn Du also jetzt schon nicht mit Malware Dateien hinterher kommst, wie es der Artikel behauptet, wie soll das ganze dann mit dem 100 - 1000 fachen Volumen aussehen? Niemand hat eine Loesung die wirklich besser funktioniert in der Praxis als AVs. Ansonsten haette sich so eine Loesung laengst etabliert.
  13. No, there is not. The setting can only be switched by language packs. That being said, I switched to a more international formatting.
  14. Kannst Du mir gerne per Mail schicken. Die Nachrichten gibt es haeufiger. Im Normalfall in Form wuester Beschimpfungen. Beispiele: Kleiner Auszug aus meinem Fanclub
  15. Es gibt mittlerweile eine neue Variante der Malware, die einige Dinge aendert, die den frueheren Decrypter ermoeglicht haben. Prinzipiell ist die neue Version ebenfalls noch unsicher, allerdings brauch ich einfach ein wenig Zeit um den Decrypter upzudaten.