Guten Tag,

ich habe die letzten Tage viel mit dem Trojaner um die Ohren gehabt.
Das wiederherstellen der Dateien hat auch immer geklappt.

Jetzt habe ich hier 2 Clients stehen, bei denen es wohl eine neue Version des Trojaners ist.

Den Trojaner habe ich entfernt.
Die Meldung sah ein bisschen anders aus als bei der ersten Version.
Bei einem der Clients konnte ich mit Scareuncrypt die Daten wiederherstellen.
Der unlocker von Avira funktionierte garnicht.
Das Java tool hier aus dem Forum auch nicht.

Bei dem anderen Client, entschüsselt mir scareuncrypt zwar die Daten scheinbar alle, aber diese sind dann nicht brauchbar, also immernoch nicht korrekt entschüsselt.

Hat sich die verschlüsselungstechnik in der Neuen Version verändert?
Gibt es schon ein Neues Tool das den schüssel errechnen kann?
Was genau hat sich verändert?

Sry das ich ein Thread aufmache aber ich blicke schon nicth mehr durch.

Und was war eig. die Letzten 2 Tage mit dem Board los? bzgl erreichbarkeit?


LG

hi,
1. ohne die malware zu sehen ist das immer schwierig.
infektions quelle war wohl ne mail.
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

2. wegen dem board, weis nicht ob der admin da noch was schreiben wird.

Mails habe ich sicherlich schon 15 von infizierten Clients aufgehoben.
Diese darf ich aber aus Datenschutzrechtlichen Gründen nicht weiterleiten, da Sie alle schön Förmlich mit Anschrift gekommen sind.

Man kann halt noch soviele Rundmails schicken, eine Tante wird die Rechnung.exe wohl immer öffnen =(

bzgl. der neuen verschlüsselung?
Kann ich da vllt ein paar mehr infos haben?
gibt es schon fälle wo jemand mit den Standart encrypter nicht weitergekommen ist?

LG

dann mach die adressen halt unkenntlich.
und ja, gibts :-)

Tag leute.
Also dieser Verschlüsselungstrojaner bekommt man von einer angeblichen Rechnungsmail oder???

Habe auch so eine Mail bekommen aber nicht geöffnet war gewarnt, da fast alle User von "Cinefacts" eine solche Mail bekommen haben und man davon ausging das die Mail Adressen des Boards gestohlen wurden.
Siehe hier:

hxxp://forum.cinefacts.de/225690-habt-ihr-euch-die-e-mail-adressen-eurer-mitglieder-klauen-lassen-8.html#post7578489

Hier mal eine Mailanalyse von einem Anderen User:

Code: Alles auswählenAufklappen

ATTFilter

Subject: *** VIRUS ***Registrationsbeitrag deiner Creditkarte für 2012 Nummer 9129533192
From: <danielle.vandersteen@zwijsencollege.nl>
To: ich
From - Thu May 10 15:29:32 2012
X-Account-Key: account3
X-UIDL: 0Lpcz0-1Rxtz30a06-00fOdc
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys: 
Return-Path: danielle.vandersteen@zwijsencollege.nl
Received: from ch1outboundpool.messaging.microsoft.com ([216.32.181.181]) by
mx-ha.web.de (mxweb003) with ESMTP (Nemesis) id 0Lpcz0-1Rxtz30a06-00fOdc for
<ich>; Wed, 09 May 2012 07:42:35 +0200
Received: from mail59-ch1-R.bigfish.com (10.43.68.240) by
CH1EHSOBE017.bigfish.com (10.43.70.67) with Microsoft SMTP Server id
14.1.225.23; Wed, 9 May 2012 05:42:19 +0000
Received: from mail59-ch1 (localhost [127.0.0.1])	by mail59-ch1-R.bigfish.com
(Postfix) with ESMTP id 50A991A0806	for <ich>; Wed, 9 May
2012 05:42:19 +0000 (UTC)
X-SpamScore: 21
X-BigFish: PS21(z3e13hzc89bhc85dhzz1202hzzd0f34hz2dh2a8h668h8 39hd2bhbfcim34h)
X-Forefront-Antispam-Report: CIP:157.55.11.7;KIP:(null);UIP:(null);IPV:NLI;H:AM SPRD0204HT008.eurprd02.prod.outlook.com;RD:none;EF VD:NLI
Received: from mail59-ch1 (localhost.localdomain [127.0.0.1]) by mail59-ch1
(MessageSwitch) id 1336542137569750_22836; Wed, 9 May 2012 05:42:17 +0000
(UTC)
Received: from CH1EHSMHS021.bigfish.com (snatpool3.int.messaging.microsoft.com
[10.43.68.225])	by mail59-ch1.bigfish.com (Postfix) with ESMTP id 85BE1604FD
for <ich>; Wed, 9 May 2012 05:42:17 +0000 (UTC)
Received: from AMSPRD0204HT008.eurprd02.prod.outlook.com (157.55.11.7) by
CH1EHSMHS021.bigfish.com (10.43.70.21) with Microsoft SMTP Server (TLS) id
14.1.225.23; Wed, 9 May 2012 05:42:17 +0000
Received: from server (61.33.11.18) by pod51007.outlook.com (10.16.196.81)
with Microsoft SMTP Server (TLS) id 14.15.74.0; Wed, 9 May 2012 05:42:19
+0000
MIME-Version: 1.0
Date: Wed, 9 May 2012 14:48:50 +0900
X-Priority: 3 (Normal)
X-Mailer: Ximian Evolution 2.0.1 (2.0.1-6)
Subject: *** VIRUS ***=?iso-8859-1?Q?Registrationsbeit?=
=?iso-8859-1?Q?rag_deiner_Credit?=
=?iso-8859-1?Q?karte_f=FCr_2012_Nu?=
=?iso-8859-1?Q?mmer_9129533192?=
From: <danielle.vandersteen@zwijsencollege.nl>
To: <ich>
Content-Type: multipart/mixed;
boundary="-----_chilkat_d44_a9b7_7fa72f68.ba718ca1_.MIX"
Message-ID: <CHILKAT-MID-34b2092d-7420-fabf-6c2d-82cf0aba9e0b@server>
X-Originating-IP: [61.33.11.18]
X-OriginatorOrg: zwijsencollege.nl
Envelope-To: <ich>
X-UI-Filterresults: ;V01:K0:9OhZRP4r:iytyEKcIEvAKXK4B2ELI0jHjTWsJDZCgz 3f
RYg8LXyfiSMtgUhBt8Bo8XBUxBrXU3jyGDXNeIRlRBxpQl/I+ON6x72vxSj1g3ZUgrztsGF
zLKCHLeGk+qtLi6Y+KP7zrLL8jB5gcNK6D7EnDtUehLcLj3ksn nuRhqQkIEv5LZGWQ51A0T
z16V83BCVrpS/eAIL7CXe9QfY+0ung8qro/8Q==
X-Antivirus: avast! (VPS 120510-0, 10.05.2012), Inbound message
X-Antivirus-Status: Infected
X-Attachment: Rechnung2012.zip#3093325646|>Rechnung2012.exe	Virus: Win32:Malware-gen	Deleted
Subject: *** VIRUS ***Registrationsbeitrag deiner Creditkarte für 2012 Nummer 9129533192
From: <danielle.vandersteen@zwijsencollege.nl>
To: ich
         

Ist das jetzt eine grössere Welle die durchs netz zieht oder liegt es nur an diesem Board(Cinefacts) ?

Wenn du mir sagst wie ich meine Mail die ich bekommen habe analysieren soll könnte ich das für dich machen

Also wir haben dasselbe Problem ist ein neuer Schlüssel.
Die Kunden warten jetzt halt ab ob wir noch was erreichen können.

mfg Pit

Guten Morgen.

Ich habe mir heute mit dieser neuen Variante den halben Tag um die Ohren geschlagen.

Ich hatte am 2.5. mit diesem RansomDing schon zu tun, so war meine Auskunft zum Kunden (*s.u.) heute nachmittag, dass er mal den Rechner rumbringen sollte, ich würde ihm das wieder richten..... jaja, soviel dazu.

Übliche Vorgehensweise: mit Kaspersky Rescue Disc Schädlinge entfernen, dann mit UBD4Win booten und mit SpyBot und RegEdit Registry säubern, anschließend ins Win booten, fertig.

Das Protokoll von Kaspersky wartete denn auch mit einigen Einträgen auf: siehe Anhang report20120514.txt

Was mir nur beim Scannen schon auffiel, es gab gar keine locked*-Dateien wie letztes Mal. Alle Dateien, die ich betrachtete hatte kryptische Namen ohne Erweiterung.
Einen Screenshot aus XP heraus habe ich mal angehängt.

Ich habe dann mal mit den mittlerweile sechs(?) RansomTools versucht, die Datei (eine davon) zu entschlüsseln, welches jedesmal scheiterte an der nicht vorhandenen Originaldatei. Auch nach Finden einer entsprechenden Datei waren die Tools nicht in der Lage, zu helfen.

Verschlüsselt werden auch bei dieser Version die Treiber- und Installations-Ordner, sowie sämtliche Dateien unterhalb von "Dokumente und Einstellungen". Der fehlende Original-Dateiname macht es nur besonders schwer, eine Vergleichsdatei zu finden. Ich bin dann auf einen Treiberinstallationsordner gestoßen, den ich anhand des Ordnernamens neu herrunterladen konnte.

Mit Hilfe mehrerer der Dateien (siehe Anhang) konnte ich dann rausfinden, dass die Verschlüsselung genau 12288 Bytes lang ist. Danach geht die Datei unverschlüsselt weiter. Inwieweit allerdings der Original-Dateiname "vsetC.dll" zu "LTpsxQvyAslfdNOLEpaG" kryptiert wird, habe ich allerdings noch nicht rausgefunden. (data1.cab --> UXXLLggddDDAAQQstTT // data2.cab --> XXAAOOxxlDEEQuddTTyq)

Eine weitere sehr merkwürdige Angelegenheit ist die, dass Datein, bei denen die ersten Bytes identisch sind, trotzdem unterschiedlich verschlüsselt sind. So gibt es zwei data(1/2).cab Dateien, die in ersten 28 Bytes identisch sind, in der verschlüsselten Version jedoch ab Byte Nr. 1 unterschiedlich.

So vermute ich, dass irgendwie der Dateiname mit zum Schlüssel beitragen muss.

Wenn jemand die Bösewichter im Original haben möchte, müsste mir Bescheid geben, dann kram ich die wieder aus der Quarantäne hervor.


Michael


*PS: Ich bin zwar selbstständig im IT-Gewerbe tätig, will aber hier keinen Vorteil durch erschleichen, sondern mithelfen, diesen Viechern Herr zu werden. Biete hierzu auch meine Programmierkenntnisse an.

Hallo.

Zwischenstand.

Ich habe heute das Notebook des gleichen Kunden bekommen, dort läuft Win7Pro. Er fragte zwar, was er mit der Mail machen sollte - natürlich löschen, was er auch tat. Allerdings wurde vorher schon einmal der Anhang aktiviert. Prima.

Nachdem ich das NB heute mittag zu Gesicht bekam, war ich etwas überrascht. Der Trojaner hat sich installiert, wohl aber "nur" mit User- nicht mit Admin-Rechten.

Aktiv war er beim Booten, jedoch wurde keine Datei verschlüsselt. Alle Dateien noch im Originalzustand. Und das, obwohl das NB mehrere Male abgeschaltet und wieder in Betrieb genommen wurde.

Die schädlichen Dateien habe ich sichergestellt und ich versuche jetzt/morgen mal wieder eine VM in Betrieb zu nehmen und mal das Unglück sein Lauf lassen und dann die Differenzen zu begutachten.


Michael

Hallo
Habe heute so eine Rechung bekommen, dann waren sie da die trojaner, es geht auf dem laufwerk c nichts mehr, nur mehr so komische zeichen, wie kann ich die datein wider bereinigen. bin für jede hilfe dankbar..

hi,
kommst du noch an die mail?
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

was meinst du mit komischen zeichen?

Hallo,
habe gerade einen Kundenrechner mit eben diesem Problem.
Der Trojaner installierte sich hier nur unter dem User, über den Adminaccount konnte ich Windows problemlos starten. Leider liegen die wichtigen Daten auf "d" und sind dort bis auf ein Excelfile alle kryptisch verschlüsselt. Verschlüsselte Dateien auf "c" habe ich bis jetzt noch nicht finden können.

Alles Versuche mit Tools welche zum entschlüseln Orginal mit Verschlüsselter Datei vergleichen scheiterten bisher.
Ich habe mit der Systemwiederherstellung den Rechner 2 Tage zurückgesetzt, kann sich das evtl. negativ auf die Entschlüslungsversuche auswirken / ausgewirkt haben?

Was gibt es noch was ich versuchen könnte.


Grüße
Spezibaer

hi, nach welchem chema sind die dateien verschlüsselt?
also wie sind die datei namen genau?

Hallo,
auch ich habe einen Rechner hier, der verschlüsselt wurde.
Ich kann Dateien zur Verfügung stellen (original und verschlüsselt).
Es werden wie Michael schreib die ersten 12288 (3000h) Bytes verschlüsselt.
Beispiel für Dateinamen:
Crypt: GyXsxJEXTxrEnTfNgnDf
Original: Wüste.jpg

Crypt: QqTlVOqAlsOQAstGun
Original: Chrysantheme.jpg

Für jede Hile zu Entschlüsselung bin ich sehr dankbar!
Grüße

Hallo,

Ordnerstrucktur ist erhalten Dateinamen sehen in etwa so aus

"dotXusEsogDrpAUs"
"EsydyregGAGaJTyGqJDrp"

es sind imer Groß- und Kleinbuchstaben, keine Ziffern und Sonderzeichen verschiedene Länge.
Dateigröße und Änderungsdatum sind soweit OK.

Grüße
Spezibaer

hi,
im moment können wir da nichts weiter tun, sorry.
höchstens nutzer vor infektionen schützen,
deswegen:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.