|
Plagegeister aller Art und deren Bekämpfung: Verschlüsselungstrojanerbefall am 09.05.12 08:34 UhrWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
11.05.2012, 09:42 | #1 |
| Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr Hallo liebes Trojaner-Board-Team, ich wurde gestern zur Unterstützung gerufen, weil 2 Rechner in einem kleinen Firmennetzwerk mit der neusten Version des "Verschlüsselungstrojaners" am 09.05.2012 um 08:34 Uhr befallen wurden. Es handelt sich hierbei um die folgende Variante des "BKA-Trojaner-Clones": Als erstes habe ich, um überhaupt Zugriff auf die Systeme erhalten zu können, den entsprechenden Registry-Key-Eintrag, der für das Anstarten des Trojaners und die Sperrung des Systems verantwortlich ist, entfernt, und kann seit dem auf die Systeme zugreifen. Als nächstes habe ich mit der geupdaten Malware-Antibytes Version einen Scan durchgeführt, 2 Funde davon wurden aber vom im Hintergrund laufenden Kaspersky-Virenscanner abgefangen und entfernt. Nun hat man zwar wieder Zugriff auf das System, es sind jedoch alle User-spezifischen Daten wie JPG-, DOC-, PDF-Dateien und CO. nach dem üblichen Schema (vermutlich RC4-Verschlüsselung) gelocked, und weisen die Form "locked-<dateiname.endung>.xxxx auf, wobei "xxxx" zufällig generiert zu sein scheint. Da mir von einigen Ordner glücklicherweise auch Original-Dateien zur Verfügung stehen, konnte ich versuchen, mit folgenden 6 Tools die Verschlüsselung rückgängig zu machen: - Decrypt Helper 0.5.3 (02.05.12) - SacreUncrypt (09.05.12) - Trojan.Ransom.HM-Decrypt.V1.exe (Bitdefender) - Matsnu1 Decryptor 1.0.0.3 - Ransom File unlocker (Avira, vom 30.04.12) - Kaspersky RannohDecryptor V1.1.0.0 Alle Versuche sind bislang erfolglos geblieben, die meiste Aussicht auf Erfolg hatte bislang "ScareUncrypt", da sich mit dessen Hilfe mit den Original- und Crypted-Files zumindest ein Key generieren ließ, der Decrypt-Prozess dann angestartet werden konnte, die Files wieder umbenannt wurden, der Inhalt der Dateien jedoch weiterhin unbrauchbar ist. Nun meine Fragen zur weiteren Vorgehensweise: - Soll ich Euch ein paar Original-Files mit den dazugehörigen Crypted-Files zusenden? - Braucht Ihr ein OTL-Log-File der betroffenden Rechner? Ich habe das Tool noch nicht benutzt, aber Eure Anleitung dazu hier im Board gefunden. Um das Tool nutzen zu können, würde ich eine Installation einer Fernwartungssoftware auf einem der Rechner veranlassen, um das Tool dort laufen zu lassen und die Logfiles zu erzeugen. Vielen Dank schon mal im Voraus für Eure Mühe!!! Mit freundlichen Grüßen, Wilfried Dammann |
11.05.2012, 10:13 | #2 |
/// Helfer-Team | Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr Hallo,
__________________ich schreib dir mal markusg seinen Text hier rein: hi, damit alle diese malware erkennen: an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert. wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ: .eml einstellen. dann mail an: http://markusg.trojaner-board.de dort die soeben erstellte datei anhängen. wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen. sie können dann dorthin solche verdächtigen mails senden. diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig. und ein Dateipaar kannst Du mit nennung Deines Namens hier im Forum an: spamdb@bitfox24.de senden. Ansonsten ist nur Abwarten angesagt. |
11.05.2012, 10:42 | #3 |
| Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr Hallo nochmal,
__________________vielen Dank für die schnelle Antwort. Ich habe ein Dateipaar an die Adresse "spamdb@bitfox24.de" gesendet. Was die ursprüngliche Mail, die diesen Trouble ausgelöst hat betrifft, muss ich schauen, ob ich die markusg zukommen lassen kann. Vielen Dank erstmal soweit und bis in Kürze, Wilfried Dammann |
11.05.2012, 10:44 | #4 | |
/// Helfer-Team | Verschlüsselungstrojanerbefall am 09.05.12 08:34 UhrZitat:
|
11.05.2012, 11:02 | #5 |
| Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr Mein Provider hat nichts angemeckert, das Dateipaar habe ich als ZIP-File (ohne PW) als Anhang angefügt. Na schaunmermal..... |
11.05.2012, 17:20 | #6 |
/// Helfer-Team | Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr der provider meckert auch nur beim virus sprich der eml datei |
11.05.2012, 19:36 | #7 |
| Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr Alles klar, ich habe die betreffenden Ansprechpartner informiert, sodaß diese vor Ort die Mail aus Thunderbird extrahieren und als .eml Datei dann weiterleiten. Das Dateipaar (Original/Encrypted) habe ich ja bereits gesendet. Einen schönen Abend noch und schon mal ein schönes WE gewünscht, W.Dammann |
14.05.2012, 12:18 | #8 |
| Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr Hallo zusammen, ich habe eine Mail mit der *.eml-Datei (gezipped, mit dem PW "markusg" versehen) und ein Dateipaar (Orig/Crypted) an die Adresse "http://markusg.trojaner-board.de" gesendet. Vielen Dank für Euer aller Mühen und viele Grüße, Wilfried Dammann |
14.05.2012, 16:41 | #9 |
/// Malware-holic | Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr hi danke. im moment wirst du leider noch warten müssen, bis eines der tools nen update erhält.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
14.05.2012, 17:25 | #10 |
| Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr Alles klar. Danke Dir erstmal soweit, der Tee zum Abwarten ist bereits gekocht.... ^^ LG, Wilfried Dammann |
21.05.2012, 08:16 | #11 |
| Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr Hallo zusammen, ich schaue jeden Tag hier vorbei um zu sehen, was es zur o.g. Problematik an neuen Erkenntnissen gibt. Aber leider schaffen die (nunmehr) 7 Tools bislang noch keine Abhilfe. Die infizierten Rechner wurden bereits neu installiert, ein Imagingverfahren implementiert und sind mittels Fernwartung für mich erreichbar, nur habe ich immer noch das Problem, dass ich einen Ordner mit nicht gerade unwichtigen Daten entschlüsseln muß. Eine weitere Suche im WEB verlief bislang auch erfolglos, bzw. man landet im Endeffekt auch wieder hier im Forum. Wie ist Eurer Meinung nach die Einschätzung auf Erfolg? Ich war am Anfang letzter Woche noch ziemlich euphorisch, nur nach den ganzen Meldungen, die sich häufen, schwindet meine Zuversicht so ganz allmählich..... CU und LG, Wilfried Dammann |
22.05.2012, 16:29 | #12 |
/// Malware-holic | Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr so was dauert nun mal seine zeit, leider.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
30.05.2012, 19:33 | #13 |
| Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr Das neue Tool Panda UnRansom gestestet... leider auch ohne Erfolg..... |
Themen zu Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr |
anleitung, avira, bitdefender, bka-trojaner, decryptor, defender, fernwartungssoftware, file, folge, frage, helper, hintergrund, installation, locked, locker, logfiles, netzwerk, nutzen, ordner, rechner, rückgängig, scan, scanner, scareuncrypt, starten, systeme, tools, unlocker, verschlüsselungstrojaner, version, zufällig, zugriff |