nein, ich hab noch keines gefunden.
Leute schickt alles an infos und die betrügermails samt dem trojaner als anhang an das forum hier:

hxxp://markusg.trojaner-board.de/

Je mehr infos die Pro bekommen ,desto eher gibts einen decrypter dafür. Vorerst abwarten und Tee trinken, kann laut meinung hier auch noch Wochen dauern, aber werft die files NICHT weg, Kof hoch, ich warte jedenfalls auf den decrypter, werdea uch ordentlich spenden, wenn das was kommt, die daten sind immens wichtig für mich

hi,
der link noch mal klickbar:
makrusg - trojaner-board.de
und, wenns ne info gibt, könnt ihr euch sicher sein das die hier gepostet wird, so das sie keiner übersieht.

Hallo Zusammen, ich kann mich bei Mynti einreihen. Meine nicht schreibgeschützten Dateien sehen dank des Trojaners jetzt z.B. so aus: UOlQXglUqtEdyluTOlQ Die Buchstabenkominationen und die Länge ist jedoch von Datei zu Datei verschieden. Ebenfalls scheint der Virus neben Namen, die Größe geändert zu haben. Die kodierten Dateien scheinen kleiner geworden zu sein. Heute habe ich noch festgestellt, dass der Trojaner auch gezippte Dateien auf einer externen Festplatte entpackt und verschlüsselt hat.

Zur der infizierten Mail kann ich leider nichts sagen. Wir hatten zwar eine per Mail versandte Zip-Datei entpackt, allerdings haben wir mit dem Absender gesprochen und sein Rechner ist sauber. Die anderen Adressaten der Mail haben auch keine Probleme.

Ich könnte Euch allerdings einen Scan und ggf. eine Kopie der Lies-mich Datei schicken, die von dem Trojaner ausgeworfen wurde. Und ich könnte Euch einen Ordner verschlüsselter Bilddateien zur Verfügung stellen, wenn es Euch helfen würde. Ich versuche Euch gleich den Virus zu schicken.

Vielleicht habt Ihr ja schon Neuigkeiten! Danke für Eure Mühe!

also meine betroffenen files sehen auch so aus aber eine veränderte größe konnte ich bisher noch nicht feststellen, bei einigen stickproben bisher alle aufs byte genau gleich groß. kansnt nochmal überprüfen? als mit rechsklick eigenschaften und die exakte größe?

hallo, leider kann ich mit keinem der tools meine dateien wiederherstellen, da meine veränderten dateien in den tools nicht erkannt bzw. sichtbar sind....ich kann also keine paar erstellen die die programme zur wiederherstellung benötigen...was kann ich tun?
lg
Sebastian

liegt nicht daran, sondern dass die tools mit der neuen Verschlüsselung noch nicht umgehen können.

ok vielen dank...werd also noch warten müssen...glücklicherweise sind auf dem betroffenen rechner nicht allzuviele dateien drauf...lg Sebastian

@benton18: So, ich bin jetzt noch einmal alle gesicherten Dateien durchgegangen und nehme alles zurück. Vom Mac aus habe ich jetzt wohl die richtige kodierte Datei zum dazugehörigen Original gefunden. Größe passt jetzt auch!

Ich kann Euch beide Dateien gerne zur Verfügung stellen! Ich weiß ja nicht, ob es helfen würde???

schon mal gut, aber leider ich bin nur Betroffener der geschichte und versuche hier Hifestellung zu geben;-)

Der letzte Satz war allgemein verfasst! ;-) Und sollte nur zur Info dienen. Ich bin immer noch verwundert, dass mir die kodierten Dateien auf dem Mac als exec-Dateien / ausführbare Unix-Dateien angezeigt werden.

Zudem ist der neue Dateiname um 4 Zeichen länger als der alte Dateiname inkl. Punkt und Dateiform!!!

Ich mag nicht mehr! :-( Leider hat sich das Muster nicht bestätigt! Hab gerade noch weitere kodierte Dateien mit Originalen verglichen und jetzt mag ich gar nicht mehr!

Da haben sich diese Verbrecher wirklich was nettes ausgedacht!!!!

hi, der dropper wäre interessant:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
makrusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

Den hab ich nicht mehr! Ich weiß leider auch nicht wie er auf den Rechner gelangt ist! Mails die wir am 17.5 abgerufen haben sind nicht mehr da. Sie liegen leider auch nicht mehr auf dem Server!!! Alles weg! ;-(

Vom Rechner gelöscht habe ich folgenden Trojaner cujemsxuj.pre bzw. TR/Skelf.A !! Vll. könnt Ihr damit ja was anfangen?! Ansonsten kann ich Euch nur die Originaldatei und die kodierte zur Verfügung stellen. Sorry!

hi, poste die logs der analyse, eröffne dazu einen thread im passenden unterforum

Zwei vor, einen zurück...

Soooderle... also die Version "1 1/2" ("3KB zerschossen am Dateianfang") konnte ich derweil "zurückdrehen" - nur "leider" scheint der Trojaner nicht mehr wirklich im Umlauf zu sein. Die ersten 2KB waren wie gehabt, im dritten KB war ein XOR auf das erste, dritte, fünte (...) byte.

Das "4GB-Problem" konnte ich so leider noch nicht beobachten, werde mir das ganze in der nächsten Woche genauer ansehen.

Ein Update erfolgt gegen Donnerstag/Freitag - vielleicht hilfts ja doch noch wem. Aktuell komme ich in meiner knappen kleinen freien Zeit nicht wirklich so weit dazu, wie ich dem ganzen nach gehen möchte.

Von der 6-KB-Version gibts anscheinend eine neue/alte Version, die ich nicht mal mehr ansatzweise geknackt bekomme.

Somit stehe ich erneut vor der "6KB" und "12KB zerschossen am Dateianfang"-Version.



Derweil scheinen die Biester öfter ihre Verbindung nach Hause nicht mehr zu bekommen -
auch scheint sich da irgendwas in der Kommunikation zu tun -
die geht scheinweise nun nichts mehr so transparent durch die Welt.
Befindet sich der PC z.B. in einem privaten LANbereich, dann verschlüssen einige der mir zugesendeten Trojaner oft garnichts -
vielleicht dachte da jemand beim Programmieren, dann könne man keinen Proxy zum Lauschen einschmuggeln.
(Kann das wer bestätigen?)


Ich möchte nochmals darauf hinweisen, dass hier verschiedene Entwickler für verschiedene Tools am Werk sind -
und es kein "Universaltool" für alle derweil aufgetauchten Variationen gibt und nur ein "kann man mal ausprobieren" bleibt.

Und ich möchte auch noch mal darauf hinweisen, dass zumindest meine Wenigkeit kein Geld dafür annimmt, die Biester zu entschlüsseln -
und man mir hier auch gern noch mehrmals 1000 Euro bieten kann, damit ich etwas entschlüssele - dadurch geht's weder schneller, noch besser, noch priorisiere ich deswegen irgend eine Anfrage... Das klingt nun etwas barsch, aber es ist teilweise schon echt der Hammer, mit was für wirklich unverschämten eMails man hier zu tun hat, wenn mann irgendwann morgens um 2 Uhr das Handtuch wirft.... Angefangen von wüsten Beschimpfungen was man denn da für einen Müll programmiert habe (weil man zu dumm war mal den Haken "Sicherheitskopie" drin zu lassen und mal die Anleitung zu lesen), bis hin zu eMails mit !!!au!1!1!srufezeichen und Forderungen, man möge doch mal schneller antworten und was man doch für eine ver*zensiert*e Firma man doch wäre, war bisher wirklich alles dabei...

Danke ausserdem an die Menschen, die mir eine Postkarte für meine Korktapetenwand geschickt haben -
das hält dann die Motivation doch noch oben.

Beste Grüße,

Oliver

moin moin Oliver,
erstmal meinen Respekt und meine Hochachtung vor Deiner Arbeit mit den Plagegeistern.
Manche scheinen zu vergessen, dass sie fuer den Zustand ihres Rechners selbst verantwortlich sind.
Ich hoffe, Du laesst Dich von Anfeindungen nicht beeindrucken.

Zitat:

Zitat von BITFOX

...
Derweil scheinen die Biester öfter ihre Verbindung nach Hause nicht mehr zu bekommen -
auch scheint sich da irgendwas in der Kommunikation zu tun -
die geht scheinweise nun nichts mehr so transparent durch die Welt.
Befindet sich der PC z.B. in einem privaten LANbereich, dann verschlüssen einige der mir zugesendeten Trojaner oft garnichts -
vielleicht dachte da jemand beim Programmieren, dann könne man keinen Proxy zum Lauschen einschmuggeln.
(Kann das wer bestätigen?)

...

Beste Grüße,

Oliver

Deine Vermutung bezueglich des LAN kann ich nicht bestaetigen.
Ein absichtlich infizierter Testrechner war im LAN eingebunden.
Es wurden trotzdem beide NTFS-Partitionen verschluesselt.
Das war am Montag, den 21.5.2012.
Anschliessend habe ich Partition C recoverd.
Partition D habe ich mit den verschluesselten Daten so belassen.

Heute habe ich auf D die Daten nochmal im Original kopiert, sodass beide Varianten vorhanden waren und den gleichen Dropper wie am Montag nochmal auf das saubere System losgelassen.
Er hat wie ueblich, den Rechner dicht gemacht.

HKLM Winlogon: UserInit - (C:\Windows\system32\D0426A96A226142D4237.exe) - D:\Windows\System32\D0426A96A226142D4237.exe (We bello comè?)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1

Allerdings hat er die Verschluesselungsroutine nicht gestartet.
Keine einzige Datei wurde verschluesselt.
Es wurde auch keine verschluesselte Datei entschluesselt. *kleiner Scherz*

Ich glaube aber, das liegt eher an der Verbindung als am LAN.
In mir reift immer mehr der Gedanke, dass entweder der Startschuss oder ein Teil des Schluessels nachgeladen werden muss.

Ich schreibe das hier auf dem infizierten Rechner waehrend ReaToGo lauft, desshalb auch die fehlenden Umlaute.

Gruss und noch schoene Pfingsten, Volker