Zitat:

Zitat von didek

@ loewe_68,

ich war heute Morgen bei ARAL und habe mich einmal schlau gemacht wie das abläuft....


man bezahlt die 100€ und bekommt dafür eine Karte mit einem Code drauf (so in der Art wie einen Handy-Aufladekarte)...diesen Code gibt man dann ein und schickt den an den Hacker....... der wiederum kann mit diesem Code in div. Onlinshops und/oder normalen Geschäften einkaufen gehen......... zum Bezahlen seiner Einkäufe gibt er dann den Code an, den er von dem bekommen hat der die 100€ gezahlt hat.........
das Krasse daran ist, der er den Code auch einem Kumpel oder wem auch immer geben kann, so das der Hacker selbst niemals in Erscheinung treten muss...
und wenn er von den Kassierten 100€ nur 10€ ausgibt hat er 90€ Reingewinn u Steuerfrei...

ist doch auch schon was......... sorry

Das ist wahr.Aber wäre es nicht möglich diese Firma Ukash *wo kommen die eigentlich her* verbieten, die treten doch nur in Verbindung mit diesem Trojaner auf oder habe ich was verpasst???

Hallo Miteinander!

Wir sind auch IT-Supportler und bekommen auch immer mehr Anfragen von Betroffenen. Deshalb hier noch ein paar weitere Informationen und eine Einschätzung der Lage von unserer Seite:

1) Der Trojaner wird nur dann aktiv, wenn eine Internetverbindung besteht. Wenn zum Zeitpunkt der Infektion keine solche vorhanden ist, wird er nur installiert und wartet, bis eine solche Verbindung aufgebaut wird.
2) Wenn eine Internetverbindung erkannt wird, verbindet er mindestens drei mal mit dem C&C-Server, z.B.:
a)
hxxp://ogutors-free.com/a.php?id=8C20AF3F4B435546464F&cmd=img&win=Windows_XP_&loc=0x0407&ver=1.170.1
b)
hxxp://ogutors-free.com/a.php?id=8C20AF3F4B435546464F&cmd=msg&ver=1.170.1
c)hxxp://ogutors-free.com/a.php?id=8C20AF3F4B435546464F&cmd=lfk&ldn=35&stat=CRA&ver=1.170.1&data=MON1xEF944FhyhIF7GcaNYG29T6ZflvjVTFc2zKPPP8VnTIA

Zu dan Daten:
ID = vermutlich Installationskennung o.ä.
CMD = Kommando an den Server
win = Windows Version
loc = Länderkennung
ver = Version des Trojaners
ldn = ??
stat = Könnte ID des Affiliate (Vertriebspartners) sein
data = Klingt sehr interessant - Könnte eventuell ein Schlüssel sein ?!

Bei allen drei Aufrufen bekommt er Daten vom Server zurück, deren Größe sich unterscheidet:
1. Aufruf: 243,8 kbyte
2. Aufruf: 704 bytes
3. Aufruf: 4 bytes

Erst nach dem Kontakt mit dem Server beginnt die Verschlüsselung.

4) Ich halte es nicht für wahrscheinlich, dass der Trojaner den MFT manipuliert. Es spricht vielmehr nichts dagegen, dass der Trojaner wirklich verschlüsselt, wie auch seine Vorgänger es taten.

5) Seine Geschwindigkeit ist allein darauf zurückzuführen, dass er a) vermutlich keinen starken Algo verwendet und b) keine Vollverschlüsselung durchführt.

6) Der Trojaner ist in Delphi / VB geschrieben, ich konnte keine Anti-Debugging Funktionen feststellen und auch keine exe-Packer.

7) Dass das Erscheinungsbild des Trojaners auf verschiedenen Rechnern unterschiedlich ist (Dateinamen, einige Daten noch ok, ...) dürfte daran liegen, wie weit der Trojaner gekommen ist, bevor Rechner ausgeschaltet wurde / Internetverbindung gekappt / etc pp. Wenn er durch ist, sind alle Dateien erstmal hin.

8) Per Wireshark durfte ich feststellen, dass er auch nach Netzwerkfreigaben scannt.

9) Und hier findet eine Prüfung einer 11111111111 zur Paysafe-Zahlung statt:

hxxp://ogutors-free.com/a.php?id=8C20AF3F4B435546464F&cmd=key&ver=1.170.1&data=1:1:NTU1NTU1NTU1NTU1NTU1NTU1NTUA

PS: DDoS auf die o.g. Server bringen nichts, weil a) ständig neue IPs b) es sind shared Server c) sind auf dem aktuellen Softwarestand (u.a. nginx, php) d) sind auch Cluster dabei. Abuse Mails werden auch nichts bringen (China, Russland, ...)

Nächster Eine Kollegin war sich 100% sicher das der Absender vertrauenswürdig ist und es sich um die Rechnung ihres Amazon Kaufs handelt.

Hab sowas böses allerdings direkt vermutet, Task Manager war nicht mehr aufrufbar, direkt Sytemwiederherstellung gemacht. Rechner neu gebootet und fuhr ganz normal hoch, keine Textdatei auf dem Desktop, nichts gesperrt. Also eigentlich keine Symptome wie sonst hier beschrieben.

Rechner Bootet, Task Manager geht wieder. Auf anhieb keine defekten Dateien gefunden. Windows Defender, Trend Micro Office Scan und Malwarebytes haben nichts gefunden. Systemverhalten ganz normal

Was bleibt ist die ungewissheit... Gibt es irgendwelche typischen Symptome/Irgendwelche Dateien die geprüft werden können? Im Autostart/MSCONFIG ist nichts auffälliges zu finden. Als Shell ist explorer.exe hinterlegt.

Zitat:

Zitat von was_ein_mist

Nächster Eine Kollegin war sich 100% sicher das der Absender vertrauenswürdig ist und es sich um die Rechnung ihres Amazon Kaufs handelt.

Hab sowas böses allerdings direkt vermutet, Task Manager war nicht mehr aufrufbar, direkt Sytemwiederherstellung gemacht. Rechner neu gebootet und fuhr ganz normal hoch, keine Textdatei auf dem Desktop, nichts gesperrt. Also eigentlich keine Symptome wie sonst hier beschrieben.

Rechner Bootet, Task Manager geht wieder. Auf anhieb keine defekten Dateien gefunden. Windows Defender, Trend Micro Office Scan und Malwarebytes haben nichts gefunden. Systemverhalten ganz normal

Was bleibt ist die ungewissheit... Gibt es irgendwelche typischen Symptome/Irgendwelche Dateien die geprüft werden können? Im Autostart/MSCONFIG ist nichts auffälliges zu finden. Als Shell ist explorer.exe hinterlegt.

Auch wenn der Schlüssel zum unlocken nicht bekannt ist, müsste doch der Verursacher schon erkannt sein oder? Auch die Antivirensoftware-Hersteller haben ja extra ihre Büros rund um die Welt verteilt um immer aktuell zu sein. Ich sehe bei mir gerade wirklich keine Auswirkung und es wird auch nichts gefunden...

Sind bei euch nur manche Dateien gelockt oder ist das ein fortlaufender Prozess? Versucht sich der Virus übers Netzwerk fortzupflanzen?

bei mir sind nur die daten umbenannnt in bz uuQQuugOggOOJJJJJvNNN und ich kann damit nix mehr machen.

Das mit den Shadow, wie geht das?
muss ich mal lesen.

Da diese neue Variante in einem Wahnsinnstempo beim Neustart den Schaden anrichtet, glaub ich nicht, daß dafür wirklich jede Datei angefasst wird. Wahrscheinlich manipuliert der Trojaner "nur" die MFT und stubbst den Dateianfang ein Bit nach rechts oder links, was dann wie eine Verschlüsselung aussieht aber natürlich nicht berechenbar ist. Leider weiß ich zu wenig von Dateisystemen, um mit dieser Idee weiter zu machen. Der Hinweis auf die komprimierten c:-Laufwerke hat mich auf diese Idee gebracht, da hier die eigentliche MFT nicht benutzt wird. Es existiert doch ein Backup der MFT, was passiert, wenn man dies einspielt. Falls der Trojaner wirklich das Versprechen der Dateifreigabe bei Zahlung hält, müßte auf dem Rechner irgendwo ein weiteres Backup der Original-MFT liegen, das bei Zahlung wieder eingespielt wird.

Zitat:

Zitat von grahlke

Da diese neue Variante in einem Wahnsinnstempo beim Neustart den Schaden anrichtet, glaub ich nicht, daß dafür wirklich jede Datei angefasst wird. Wahrscheinlich manipuliert der Trojaner "nur" die MFT und stubbst den Dateianfang ein Bit nach rechts oder links, was dann wie eine Verschlüsselung aussieht aber natürlich nicht berechenbar ist. Leider weiß ich zu wenig von Dateisystemen, um mit dieser Idee weiter zu machen. Der Hinweis auf die komprimierten c:-Laufwerke hat mich auf diese Idee gebracht, da hier die eigentliche MFT nicht benutzt wird. Es existiert doch ein Backup der MFT, was passiert, wenn man dies einspielt. Falls der Trojaner wirklich das Versprechen der Dateifreigabe bei Zahlung hält, müßte auf dem Rechner irgendwo ein weiteres Backup der Original-MFT liegen, das bei Zahlung wieder eingespielt wird.

Get Data Back for NTFS meldet->

MFT entry found@sector 97xxxxx63: '$MFT'
MFT entry found@sector 97xxxxx65: '$MFTMirr'
MFT entry found@sector 97xxxxx67: '$LogFile'
MFT entry found@sector 97xxxxx69: '$Volume'

...GDBNT läuft bei mir schon zwei Tage auf n'er externen 1TB Platte.
...wird wohl noch zwei Tage dauern,,,

Werd's melden wenn's funzt...

Zitat:

Zitat von grahlke

Da diese neue Variante in einem Wahnsinnstempo beim Neustart den Schaden anrichtet, ..........

Dem ist nicht so, Die Verschlüsselung beginnt unmittelbar nach Ausführung der Datei.
Getestet mit einer Registrierung.pif, einer Variante der 12k-Verschlüsselung.

Gruß Volker

@micadig

Ich bin ziemich sicher, dass das nichts bringen wird. Wir haben hier auch schon einen Versuch mit einer 100 GB-Partition. Das Ding ist so schnell, weil es in jede Datei nur 3kb schreibt und er zusätzlich nach Dateitypen filtert. Das bedeutet, dass er bei z.B. angenommenen 30.000 Dateien gerade mal knapp 90 Megabyte (!) schreiben muss. Dass das schnell geht ist klar.

Hallo, nun auch ein Opfer dieses Trojaners.
Habe mit anti malware im abgesicherten modus das system wieder zum alufen gebracht aber alle dateien sind nun verschlüsselt und umbenannt. alle meine Passwörter und auch die firefox lesezeichen sind weg. Sind die noch irgendwo gespeichert? hab mal eine Systemwiederherstellung 2 tage zurück gemacht, hat nix gebracht.
Und bisher hab ich ein paar der decrypter tools probiert, aber keines hat meine original und encryptete datei angenommen, um daraus andre zu decrypten. HILFE alle meine urlaibsfotos, alle meine Hochzeitsfotos, meine Frau bringt mich um.

Alles schön und gut, die Polizei wird diesen Verbrechern schon auf den Fersen sein, aber da diese im Ausland sitzen wird das wenn überhaupt ewig dauern. Viel entscheidender ist: Wie komme ich wieder an meine Daten !?

Zitat:

Zitat von grahlke

Alles schön und gut, die Polizei wird diesen Verbrechern schon auf den Fersen sein, aber da diese im Ausland sitzen wird das wenn überhaupt ewig dauern. Viel entscheidender ist: Wie komme ich wieder an meine Daten !?

Klar da stimm ich dir zu

mein mail ist raus!

decoder tools klappen bei mir nicht, bei euch?
das tool kann nichtmal einen schlüssel erzeugen, weil anscheinend die files nicht gleich sind (original und verschlüsselt)

Zitat:

Zitat von benton18

mein mail ist raus!

decoder tools klappen bei mir nicht, bei euch?
das tool kann nichtmal einen schlüssel erzeugen, weil anscheinend die files nicht gleich sind (original und verschlüsselt)

Falls deine Dateien so chejGedH aussehen, nützen dir die alten Entschlüsselungstools nichts. Diese funktionieren nur bei den Dateien, die -locked im Dateinamen enthalten.(und da auch nicht bei allen Versionen.)
Gruß DevilTH

Zitat:

Zitat von DevilTH

Falls deine Dateien so chejGedH aussehen, nützen dir die alten Entschlüsselungstools nichts. Diese funktionieren nur bei den Dateien, die -locked im Dateinamen enthalten.(und da auch nicht bei allen Versionen.)
Gruß DevilTH

ja meine dateien sehenzb so aus:

uuQQuugOggOOJJJJJvNNN (ohne endung)

Hoffe auf einen baldigen decrypter dafür.

Also im Moment bin ich machlos oder?
da bringt ja neu aufsetzen uns alle nix.