Beim PC (Windows XP) einer Bekannten hat der Lizenztrojaner zugeschlagen. Sie hatte eine Mail geöffnet, und die sich im Attachement befindliche Datei "zahlschein.exe" ausgeführt. Eine externe Sicherung der Daten gibt es natürlich nicht. Sieht genauso aus wie in Eurem Video. Bei solchen Problemen gehe ich immer so vor:
-Mit ACRONIS-CD einen Clone der Festplatte erstellen.
-PC komplett neu aufsetzten
-Vom Clone die Daten kopieren

Und dann die böse Überraschung. Es gab, von ein paar Fotos im Ordner Digicam abgesehen, nur mehr noch Dateien im Format: locked-<originaler Dateiname>.<eine vierstellige Buchstabenkombination>

Alle, mit denen von Euch vorgestellten Tools, auch mit DecryptHelper-0.5.3.jar zu entschlüsseln sind fehlgeschlagen. Ich habe die beiden (im Anhang) binär verglichen, und stellte fest, dass diese erst ab dem Byte 11264 (x'2c00) wieder gleich sind und nicht wie angenommen ab Byte 4096.

Der Trojaner wurde angeblich von CISCO am 4.5.2012 das erste Mal entdeckt. Ihre Dateien wurden am gleichen Tag verschlüsselt. Avira hatte nicht angeschlagen.

Vielleich könnt Ihr mir weiterhelfen.

Besten Dank im Voraus

hi,
1. die infektionsquelle war warscheinlich ne mail, für die zukunft gilt deswegen:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

2.
welche tools hast du zum entschlüsseln versucht?

Hi,
natürlich war es eine Mail, wie bereits beschrieben.
Da ich den PC neu aufgesetzt hatte, ist der Trojaner vom PC natürlich weg.
Ich nur mehr das Problem mit den verschlüsselten Dateien.
Ich habe alle im Trojaner-Board.de angeführten Tools probiert, ohne Erfolg.
In einem Video wird gesagt, das dieser Trojaner nur die ersten 4096 Byte verschlüsselt; diese Tools versuchen anscheinend den Schlüssel aus diesen 4096 Byte zu errechnen.
was ist aber wenn die ersten 11264 Byte verschlüsselt sind.

Wenn es euch nützt werde ich versuchen, die originale Mail an Euch weiterzuleiten.

mfg

wenn du sie noch hast, ja.
naja, das vidio wurde nun mal nicht aktualisiert, die malware schon.
es gibt seit ner weile variannten, wo die verschlüsselung angepasst wurde.

Hi,
Danke für die schnelle Antwort; Ich wollte Euch direkt auf Euer Mail antworten.
Funktioniert nicht; siehe weiter unten. Leider wird mir in dieser Antwort kein Attachement mehr angeboten. Bitte sagt mir, wie ich Euch die Datei
04.05.2012.zip zukommen lassen kann.

Der Inhalt: (Empfängername geändert)

Von: rafareb@terra.com.br <rafareb@terra.com.br>
Datum: Freitag, 4. Mai 2012 08:19
Betreff: Warenerwerb Renata K. 08377812578 (Name von mir geändert)

Inhalt:

Sehr geehrte/r Renata K.,

Ihr Mitglieds-Konto wurde aktiviert.
820,25 Euro Teilnehmerbeitrag ist ab sofort zu bezahlen.

Die Zahlung wird innerhalb 2 Tagen entzogen.
Sie werden bald angerufen und ein Termin wird ausgemacht.
Artikelauflistung und Storno Hinweise finden Sie in beigefügter Datei.

Garahe GmbH
Bleckering 51
47768 Giessen

Telefon: (+49) 700 0529581
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Hannover
Umsatzsteuer-ID: DE645960889
Geschäftsfuehrer: John Schneider

Das Attachement: 04.05.2012.zip

Dieses Mäderl ist vollkommen fertig. Dissertation, Seminare, Schulungsunterlagen ... alles weg.

Besten Dank im Voraus

Franz


Meldung von GMX:


Liebes GMX Mitglied,

in einer von Ihnen verschickten E-Mail wurde ein Virus gefunden.

Datei: "Zahlschein.exe"
Virus: "Trojan.FakeAV"

Die E-Mail wurde nicht an den Empfänger weitergeleitet. Verwenden Sie bitte einen lokalen Virenscanner, um Ihren PC zu überprüfen.

Es folgen Details zu der betroffenen E-Mail:

Von: ...
An: ...
Datum: Fri, 11 May 2012 18:02:56 +0200
Betreff: Re: Neue Antwort im Thema 'Lizenz Trojaner verschlüsselte und originale Datei erst ab Byte 11264 (x'2c00) gleich'

wieso hast du noch nen thema eröffnet?

http://www.trojaner-board.de/115041-...h-achtung.html