Doctor Web - Tool gegen Trojan.Matsnu.1

Am 26. April 2012 wurden die Anwender über die Verbreitung von Spam-Mails mit einem gefährlichen Anhang informiert. Die Benutzerdateien werden verschlüsselt, sobald eine angehängte ausführbare Datei gestartet wurde. Die Sicherheitsspezialisten von Doctor Web präsentieren ein Tool, mit dem die Anwender ihre Dateien entschlüsseln können. Das Tool ist als matsnu1decrypt.zip (Mirror) verfügbar.

Die verbreiteten Massen-Mails sind auf Deutsch geschrieben und haben den Betreff „<Vorname> <Nachname> Vertrag Nr 46972057“. Diese E-Mail enthält eine ZIP-Datei mir dem Namen Abrechnung oder Rechnung. Sobald das Opfer die Datei gestartet hat, werden seine Dateien verschlüsselt.

Zitat:

Sehr geehrte(r) <Vorname> <Nachname>,

Sie haben sich für unseren Mail Upgrade eingetragen und wir freuen uns Sie als unseren frischen Teilnehmer zu begrüssen Sie können jetzt bis zu 500 Mitteilungen pro Monat frei versenden und Ihr Speicherplatz erhöht sich um 5 Gb.

433,29 Euro für Registration werden Ihnen pro 12 Monate im Vorraus von Ihrem Bankkonto abgeschrieben. Entnehmen Sie die Rechnungsdaten bitte dem Anhang, dort finden Sie auch die Erläuterung für Ihre 2 Wochen Kündigungsfrist.

Mit freudlichen Grüssen
Ihr Kundenservice

Weitere Informationen Trojan.Matsnu.1.


Nach Anwendung des Skriptes, erstelle ein Thema hier im Forum: Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Hallo allerseits,

Zu dieser Meldung gibt es eine korrigierte Version; die Korrektur betrifft Betreff und Anrede in den versendeten E-Mails:

Hanau, 27. April 2012 – Doctor Web, führender russischer Hersteller von Antivirus- und Antispam-Lösungen, warnt vor böswilligen Spam-Mails über die sich Trojan.Encoder verbreitet.

Während der letzten 24 Stunden haben vor allem deutsche PC-Anwender den technischen Support von Doctor Web wegen gefährlicher Spam-Mails kontaktiert. Die E-Mails können in der Anrede personalisiert sein und wenden sich beispielsweise mit folgendem Betreff und Inhalt an den Empfänger:

Betreff: „<Vorname> <Nachname> Vertrag Nr 46972057“

Sehr geehrte(r) <Vorname> <Nachname>,

Sie haben sich für unseren Mail Upgrade eingetragen und wir freuen uns Sie als unseren frischen Teilnehmer zu begrüssen Sie können jetzt bis zu 500 Mitteilungen pro Monat frei versenden und Ihr Speicherplatz erhöht sich um 5 Gb.

433,29 Euro für Registration werden Ihnen pro 12 Monate im Vorraus von Ihrem Bankkonto abgeschrieben. Entnehmen Sie die Rechnungsdaten bitte dem Anhang, dort finden Sie auch die Erläuterung für Ihre 2 Wochen Kündigungsfrist.

Mit freudlichen Grüssen

Ihr Kundenservice

... Betreff, Anrede und kleinere Textdetails in den E-Mails können also variieren. Ansonsten alles korrekt

Anwendungshinweise für unser Tool gibt bei Bedarf gern auch der deutsche Support unter support@drweb-av.de.

Hallo,
vor kurzem habe ich auch eine Mail bekommen das ich bei dem betreffenden Shop eingekauft habe, die Mail werde ich umgehen löschen und natürlich den Anhang (als .zip datei getarnt) auf gar keinen Fall öffnen. Die Mail schaut so aus:
Verehrte(r) Hugo Egon Maurer,

vielen Dank für Ihre Bestellung bei comtech.de, nachfolgend finden Sie Ihre Bestellbestätigung.

Deine Bestellnummer 22860541010
Artikel: Toshiba 5076334942 717,07 Euro
Rechnungsname: Hugo Egon Maurer
Zahlungsmethode: Lastschrift

Versandadresse und detaillierte Vertragsdetails finden Sie im Anhang.

Die Zahlung wurde autorisiert und wird innerhalb 2 Tage abgeschrieben.
Bezahldetails und Widerruf Möglichkeiten finden Sie in Beilage.


Ihr Mail-Support

Kudox GmbH
Audorfring 59
60086 Augsburg

Telefon: (+49) 020 6974535
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Essen
Umsatzsteuer-ID: DE434230977
Geschäftsfuehrer: John Voigt

Gruß
Hugo

hi,
solche mails können interessant sein für weitere analysen.
bitte, wenn ihr solche mails von unbekannten absendern mit .rar oder zip anhang (häufigst vorkommene anhänge) bekommt, dann öffnen, datei speichern unter, typ zb
.eml
dann mail an:
markusg@paules-pc-forum
dort das soeben abgespeicherte anhängen.
bei einem webmailer funktioniert das immer ein wenig anders, da müsste man wissen um welchen es sich handelt.
das bloße öffnen der mail infiziert in diesem falle nicht das system.

Hi hugo1970,

danke für deine Beispielmail, die zeigt, dass es auch noch weitere mögliche Texte gibt und geben wird...und dass man deshalb generell vorsichtig sein sollte bei E-Mail-Anhängen (besonders im Falle unbekannter Absender).

Das Fiese an dieser Masche finde ich, dass Panik erzeugt wird (Angst vor Geldverlust) und man, selbst wenn man von einem Betrug ausgeht, oft noch einen Restzweifel im Hinterkopf hat. Im Zweifelsfall könnte man ja, sofern eine Firma (wie bei dir comtech) gennant ist, dort nachfragen, ob alles mit rechten Dingen zugeht. Und wenn keine genannt ist kann man sich ja schon denken, was los ist

Ansonsten kann ich markus nur zustimmen: Jeder Anhang kann ein neues, bisher unerkanntes Sample sein. Auch bei uns von Doctor Web (wie auch bei jedem anderen AV-Hersteller) gibt es die Möglichkeit, Samples einzusenden und damit nicht nur was Gutes für sich selbst, sondern auch für andere Nutzer zu tun

zumal sie jetzt:
1. neue mail texte verwenden.
2. seit heute eine höhere routation von samples haben.
sonst gab es 1 neues pro tag, was das infektionsrisiko bei regelmäßigem update gegen abend meist sehr stark verringern sollte, heute habe ich bereits 3 samples.
deswegen ists wichtig, dass wir so viele mails wie möglich bekommen.
und natürlich bekommen alle av-hersteller die samples von mir umgehend zugesendet.

hallo,
es ist, leider, so weit.
es gibt jetzt variannten, bei denen die entschlüsselung anhand von paaren nicht mehr funktionieren wird.

wichtiger hinweis:
entschlüsselt nur anhand von backups und meldet euch bei problemen.


an einer lösung wird gearbeitet.

Herzlichen Dank. matsnu1decrypt funktioniert offenbar prima. Pooh...so konnte ich meine Frau mal wieder retten!! Hoffentlich geht sie jetzt etwas vorsichtiger mit Emailanhängen von unbekannten Absendern um

Hallo,

Hatte die neue Version das Matsnu1 auf dem PC. Konnte diesen per OTL entfernen. Habe gerade mit matsnu1decrypt ca. 1900 Dateien entschlüsselt bekommen. Leider mit dem Ergebniss, das in allen Dateinen nun nur noch Müll drin steht, bzw. ich diese nicht mehr öffnen kann. Werde den PC nun wahrscheunlich komplett neu aufsetzen müssen... Also VORSICHT !

hi, deswegen entschlüsselt man ja auch an backups.
hast du die verschlüsselten files noch?
kommst du noch an die mail über die du dich infiziert hast, leite die mal an mich weiter wie im post 4 beschrieben.

nein, beides leider nicht....

Hallo,
ich könnte von einem betroffenen System sowohl verschlüsselte als auch die passenden Originaldateien zur Analyse beisteuern. Von der Originalmail gibt es leider nur noch den Ausdruck.

Ich habe leider mit den hier beschriebenen Mitteln die Dateien nicht entschlüsseln können und wäre für Tipps sehr dankbar.

Viele Grüße
Markus

Hallo Ihr Spezialisten,

mit den hier im Forum angegebenen Tools konnte ich die infizierten Dateien wieder herstellen. Der Trojaner ist aber immer noch auf dem PC.
Wie kriege ich den weg?

Gruß Klaus

Hallo,
ich hab wieder eine Betrugsmail mit Anhang erhalten. Da ich Linux verwende ist die Gefahr kleiner, ich werde den Anhang trotzdem nicht öffnen, aber speichern und hier als Anhang veröffentlichen und an markusg@paules-pc-forum schicken. Der Anhang hab ich so gespeichert: Auszug.zip
Absender: shellz6699@cs.com
Betreff:Registration Deiner Clubkarte
Inhalt:
Hallo lieber Kunde/Kundin,

wir freuen uns Ihnen mitteilen zu können, das Ihr Eurocard-Antrag bearbeitet wurde. Sie erhalten Ihre Zahlkarten in den nächsten Tagen, Ihre Pin wird separat zugestellt. 469,59 Euro für 12 Monate Gebühren werden Ihnen in Kürze von Ihrem Bankkonto abgetragen. Ihr Kartenlimit ist auf 3500 Euro gesetzt. Kaufauflistung finden Sie im Zusatzordner in der E-Mail.

Bambaclaat GmbH
Eisvogelweg 14
15106 Hamburg

Telefon: (+49) 347 0908212
(Mo-Fr 8.00 bis 18.00 Uhr| Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Stuttgart
Umsatzsteuer-ID: DE561829323
Geschäftsfuehrer: Alexander Wieder

wegen den mails:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.
@berndmkilian
wenn du dich mal umschaust im forum und den hinweis liest, der ganz groß und breit oben steht, wirst du ne anleitung finden, anhand derer wir sicher deinen pc analysieren können :-)