| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Verschlüsselungstrojanerbefall am 09.05.12 08:34 UhrWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
| |
11.05.2012, 09:42
| #1 |
| |  Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr Hallo liebes Trojaner-Board-Team, ich wurde gestern zur Unterstützung gerufen, weil 2 Rechner in einem kleinen Firmennetzwerk mit der neusten Version des "Verschlüsselungstrojaners" am 09.05.2012 um 08:34 Uhr befallen wurden. Es handelt sich hierbei um die folgende Variante des "BKA-Trojaner-Clones":  Als erstes habe ich, um überhaupt Zugriff auf die Systeme erhalten zu können, den entsprechenden Registry-Key-Eintrag, der für das Anstarten des Trojaners und die Sperrung des Systems verantwortlich ist, entfernt, und kann seit dem auf die Systeme zugreifen. Als nächstes habe ich mit der geupdaten Malware-Antibytes Version einen Scan durchgeführt, 2 Funde davon wurden aber vom im Hintergrund laufenden Kaspersky-Virenscanner abgefangen und entfernt. Nun hat man zwar wieder Zugriff auf das System, es sind jedoch alle User-spezifischen Daten wie JPG-, DOC-, PDF-Dateien und CO. nach dem üblichen Schema (vermutlich RC4-Verschlüsselung) gelocked, und weisen die Form "locked-<dateiname.endung>.xxxx auf, wobei "xxxx" zufällig generiert zu sein scheint. Da mir von einigen Ordner glücklicherweise auch Original-Dateien zur Verfügung stehen, konnte ich versuchen, mit folgenden 6 Tools die Verschlüsselung rückgängig zu machen: - Decrypt Helper 0.5.3 (02.05.12) - SacreUncrypt (09.05.12) - Trojan.Ransom.HM-Decrypt.V1.exe (Bitdefender) - Matsnu1 Decryptor 1.0.0.3 - Ransom File unlocker (Avira, vom 30.04.12) - Kaspersky RannohDecryptor V1.1.0.0 Alle Versuche sind bislang erfolglos geblieben, die meiste Aussicht auf Erfolg hatte bislang "ScareUncrypt", da sich mit dessen Hilfe mit den Original- und Crypted-Files zumindest ein Key generieren ließ, der Decrypt-Prozess dann angestartet werden konnte, die Files wieder umbenannt wurden, der Inhalt der Dateien jedoch weiterhin unbrauchbar ist. Nun meine Fragen zur weiteren Vorgehensweise: - Soll ich Euch ein paar Original-Files mit den dazugehörigen Crypted-Files zusenden? - Braucht Ihr ein OTL-Log-File der betroffenden Rechner? Ich habe das Tool noch nicht benutzt, aber Eure Anleitung dazu hier im Board gefunden. Um das Tool nutzen zu können, würde ich eine Installation einer Fernwartungssoftware auf einem der Rechner veranlassen, um das Tool dort laufen zu lassen und die Logfiles zu erzeugen. Vielen Dank schon mal im Voraus für Eure Mühe!!! Mit freundlichen Grüßen, Wilfried Dammann |
| Themen zu Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr |
| anleitung, avira, bitdefender, bka-trojaner, decryptor, defender, fernwartungssoftware, file, folge, frage, helper, hintergrund, installation, locked, locker, logfiles, netzwerk, nutzen, ordner, rechner, rückgängig, scan, scanner, scareuncrypt, starten, systeme, tools, unlocker, verschlüsselungstrojaner, version, zufällig, zugriff |
Baum-Darstellung