Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Neue Verschlüsselungs-Trojaner Variante im Umlauf

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 23.05.2012, 13:33   #1
Undertaker
/// Helfer-Team
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



moin moin,
ich schaffe es nicht, einen Rechner zu infizieren.
Hintergrund sind Tests mit BackUps, vor Allem das Verhalten bei SecureZone Partitionen.
Ich habe dazu extra ein System vorbereiten.
IntelCore2Duo, 4GB RAM, 300GB HDD mit zwei Partitionen zu ja 100GB und 100GB nicht zugeordneten Platz, eingerichtet als Acronis Secure Zone.
Es läuft ein durchschnittliches Win7 32bit mit Office, paar Tools.
Ich habe hier eine Lieferschein.exe (54.784 Bytes), vermutlich eine der ersten Generation, eine SPS-Shipment_Information-Report.exe (108.544 Bytes), ein Anhang einer Sendungsmitteilung von DHL und als letzte eine World-Parcel-Express-Details.exe als Anhang einer UPS Mitteilung.

Die World-Parcel-Express-Details.exe ist scheinbar beschädigt, sie lässt sich aus der ZIP nicht extrahieren.
Die beiden anderen tun zwar so als ob, zeigen aber keinerlei Infektionssymptome.
Möglicherweise sind da ein paar Trittbrettfahrer unterwegs unbd machen sich einen Spaß aus der ganzen Hektik.

Ich brauchte also mal einen Bösewicht, der 100%ig böse ist.
Die Variante ist egal.

Vielleicht liest das markusg mit und kann mir einen brauchbaren Feind an die bekannte Mailaddi retour schicken.

Gruß Volker

Alt 23.05.2012, 13:37   #2
geoff2
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



inzwischen ist der trojaner v2 (verschlüssel+umbenennen ohne "locked.***) bei einem weiteren benutzer aufgetaucht.

hab hier eine andere variante der rettung versucht.

platte ausbauen und vorgängerversion wiederherstellen
hat bis jetzt bei einzelnen ordnern funktioniert.
werd das jetzt auf die ganze platte ausweiten und anschließend mit norton durchscannen
norton ist lauf virustotal einer der virenscanner der den trojaner zumindest erkennt und löscht.

ist das geschehen sicherheitskopie nr.:2 und im abgesicherten modus starten.
mal schauen was passiert
__________________


Alt 23.05.2012, 13:42   #3
markusg
/// Malware-holic
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



naja, norton erkennt bisher einen teil der malware, ob alles erkannt wurde kannst du erst wissen wenn du hier nen thema mit logfiles eröffnet hast.
@Undertaker
alte versionen nützen dir nichts, da deren server offline sind.
die lieferschein.exe scheint das einzige zu sein was ransom ware ist.
die andern teile klingen eher nach
Bebloh
hab dir mal n sample gesendet
__________________
__________________

Alt 23.05.2012, 14:17   #4
benton18
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



so hab nun auch mal im kaspersky Forum unruhe gestiftet mit dem teil hier (Ujdmasöldfjkasf)
Je mehr leute da dran arbeiten, des to besser, die haben ja auch schon einen decrpter für die -locked variante gemacht.

Alt 23.05.2012, 14:26   #5
pcab50
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Ich lade gerade zwei frisch erstellte Videoanleitungen auf YouTube hoch zur Wiederherstellung von Dateien aus den Schattenkopien, eine zu Schattenkopien im Windows-Explorer und eine zum ShadowExplorer. Die Anleitung hier ist ja nur auf englisch: http://www.trojaner-board.de/115496-...erstellen.html
Am sinnvollsten poste ich das dann in obigem Beitrag, oder?


Alt 23.05.2012, 14:46   #6
OliverA
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Auf meinen Log&Analyse Thread Antwortet leider niemand, daher möchte ich hier nochmal meine Erfahrungen äußern.

Bei mir in der Firma setzen wir Citrix Xenapp ein. Auf einem der 4 Xenapp Server (Windows 2008 kein R2) hat sich eben genau der Verschlüsselungstrojaner eingeschläußt wie hier besprochen.
Aufgefallen ist es uns natürlich durch den Screen der alles blockierte.
Server also neugestartet im abgesicherten Modus (war nicht blockiert) und die hier empfohlenen Scans durchgeführt, die aber alle nicht wirklich was finden konnten. Die Daten schienen nicht verschlüsselt gewesen zu sein, wobei auf den XenApp Servern auch nur die Programme ausgeführt werden. Die UserProfile und Daten liegen auf einem anderem Server.

Der Online Virenscanner von ESET konnte letzendlich den Win32/Trustezeb.B 3x auf dem System finden.

-0EC911D90613A2D42F73.exe im System32 Ordner
-C:\Users\Administrator.domäne\AppData\Local\Temp\16\ewclgycnhm.pre
-C:\Users\Administrator.domäne\AppData\Local\Temp\16\ocoeoclnrp.pre

Auf hxxp://www.paulsen-it.de/news-details/artikel/trskelfa.html konnte ich dann herausfinden das der Virus Registry und Sicherheitseinstellungen verändert.
In meinem Fall ist mir Aufgeallen das die Firewall so konfiguriert war, dass auch Programme die nicht in den Ausnahmen Definiert sind, nach außen kommunizieren dürfen.

Es würde mich besonders interessieren ob hier noch mehr Infos bekannt sind, welche Einstellungen und Registry einträge getöätigt wurden.

Wie der Virus auf das System kam, kann ich nicht sagen. Ich bin alle Mails durchgegangen und konnte nichts Auffälliges finden. Kann aber natürlich sein das ein Mitarbeiter seine Privaten Mails über eine Weboberfläche aufgerufen hat und dort den Virus eingeschläust hat.

Komisch fand ich nur, dass bei uns nichts vershclüsselt wurde und auch der Abgesicherte Modus kein problem war. (Unser GlücK!!!)

Alt 23.05.2012, 14:35   #7
benton18
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



das mit shadow ist natürlich supa, damit hab ich auch schon einigs gerettet, aber blöderweise geht das bei mir nur mit laufwerk C und ich hab sehr viele Files als Bibliothek verlinkt auf ne große 2. Festplatte (Laufwerk H). Trotzdem nen Video wäre sicher mal super.

Alt 23.05.2012, 15:14   #8
markusg
/// Malware-holic
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



hi,
warte bitte dann in deinem thread auf ne antwort, is ja nicht so, als hätten wir nichts zu tun hier :-)
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 23.05.2012, 15:17   #9
OliverA
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Sorry Markus, sollte nicht so rüberkommen, dass ich euch das übel nehme das mir noch niemand geantwortet hat. Sehe ja selbst das hier gerade der Bär los ist
Wollte hier lediglich meine Erfahrungen teilen, vielleicht hilft es ja bei der weiteren Analyse.

Alt 23.05.2012, 15:22   #10
markusg
/// Malware-holic
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



hi
hab das auch nicht so aufgefasst,
meinte nur das wir fragen zu pcs nicht hier erörtern sollten, diskusionen sind hier aber natürlich erwünscht
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 23.05.2012, 15:42   #11
litzedv
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Markus ...

Du hast jetzt 2 *.zi1 Files bekommen.

Matsnu und Matsnu.gen!A sagt Microsoft dazu. Krieg die Dateien mit keinem der Programme entschlüsselt

Gruß
Stefan

Alt 23.05.2012, 15:46   #12
markusg
/// Malware-holic
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



hab ich, danke
hattest du shadow explorer versucht?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 23.05.2012, 15:57   #13
litzedv
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Zitat:
Zitat von markusg Beitrag anzeigen
hab ich, danke
hattest du shadow explorer versucht?
Erst gar nicht angefangen damit nachdem ich gesehen habe das die 2 Rechner gefühlte 100 Bilder Ordner haben. Bissel Bestrafung muß ja sein. Kunde soll mal schön auf einen Entcrypter warten und den Spenden Button klicken am Ende

Im Nachvollzug festgestellt das die Frau es geschafft hat das Teil 12x !!! aus dem AOL runter zu laden und der Avira hats dann aufgegeben.


Gruß
Stefan

Alt 23.05.2012, 15:59   #14
markusg
/// Malware-holic
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



ja, du weist ja, wenn frauen was haben wollen ...
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 23.05.2012, 16:16   #15
Maccu
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hallo, ich habe seid heute auch diese Problem. Wie bekomme ich den Trojana wieder weg .habe keinen 2Rechner nur ein iPad . Diese Mail habe ich bekommen.
Vielen Dank für Ihre Mitliedschaft,

Sie haben soeben bei der Dating-Agentur www.Flirten.at die Premiummitgliedschaft bestellt. Der Betrag in Höhe von 375,49 EUR wird in den nächsten Tagen von Ihrem Konto abgebucht. Der Kontoeinzug erfolgt durch Poryment GmbH.


Sie sind jetzt für die nächsten 48 Monate Starklient und dürfen in vollen Umfang die Premiummöglichkeiten nutzen.
Entziehen Sie die Rechnungen bitte dem Zusatzordner in der E-Mail, dort finden Sie auch die Vertragsdaten und Stardienstvorteile. Falls Sie die Elitemitgliedschaft nicht mehr möchten, mailen Sie die Kündigung, mit der in dem Zusatzordner in der E-Mail, beigelegten Kündigungserklärung.

Das Serviceteam wünscht dir viel Glück!

Mit freundlichen Grüßen Manfred Wallner
Serviceteam


Dortmund 22485 Deutschland
Phone: +49-962-83421657

Geschäftsleiter: Gerhard Scholz
Inhaltlich Verantwortlicher gemäss § 6 MDStV: Andreas Jung
Datenschutzbeauftragter: Hans Schneider
UST-Nr.: DE5833188230
Amtsgericht Hannover.

Antwort

Themen zu Neue Verschlüsselungs-Trojaner Variante im Umlauf
256 bit, 256 bit aes schlüssel, abmahnn, computerverschlüsselungstrojaner, mahnung.zip, rechnung.pif, sie haben sich mit einen windows-verschlüsselungs trojaner infiziert, spam-mails, tr/skelf.a, trojan.matsnu.1, trojan.winlock, trojan:win32/matsnu.gen!a, verschlüsselungs-trojaner, virus verschlüsselt, wickel, willkomen bei windows update, win32/trustezeb.b, windows notfall sicherheits-update center




Ähnliche Themen: Neue Verschlüsselungs-Trojaner Variante im Umlauf


  1. XcodeGhost: Neue Version von manipuliertem Apple-Entwicklungstool im Umlauf
    Nachrichten - 04.11.2015 (0)
  2. Neue DHL-Mail Variante?
    Diskussionsforum - 29.05.2015 (2)
  3. Neue Familie von Erpressungs-Trojanern Umlauf
    Nachrichten - 15.08.2013 (0)
  4. Bundestrojaner neue Variante?
    Plagegeister aller Art und deren Bekämpfung - 26.03.2013 (28)
  5. BKA Trojaner neue Variante "Der Computer ist für die Verletzung der Gesetze der Bundesrepublik..."
    Plagegeister aller Art und deren Bekämpfung - 05.08.2012 (2)
  6. Windows-Verschlüsselungs-Trojaner (Neue Art)
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (1)
  7. Verschlüsselungs Trojaner BKA GEMA Variante
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (1)
  8. Neuer Verschlüsslungs Variante in umlauf
    Diskussionsforum - 13.07.2012 (7)
  9. Verschlüsselungs-Trojaner, Neue Version
    Plagegeister aller Art und deren Bekämpfung - 13.06.2012 (1)
  10. Rechner befallen von ...... Neue Verschlüsselungs-Trojaner Variante im Umlauf
    Plagegeister aller Art und deren Bekämpfung - 12.06.2012 (1)
  11. Verschlüsselungs-Trojaner Variante
    Plagegeister aller Art und deren Bekämpfung - 03.06.2012 (1)
  12. Neue Variante von Ukash
    Log-Analyse und Auswertung - 23.10.2011 (34)
  13. Bundespolizei: Neue Variante vom 'Bundes-Trojaner'
    Plagegeister aller Art und deren Bekämpfung - 09.09.2011 (5)
  14. Neue Mails im Umlauf
    Plagegeister aller Art und deren Bekämpfung - 21.03.2007 (1)
  15. neue Variante von W32.Netsky ?
    Plagegeister aller Art und deren Bekämpfung - 15.04.2005 (10)
  16. Neue Blaster Variante?
    Plagegeister aller Art und deren Bekämpfung - 02.09.2003 (4)

Zum Thema Neue Verschlüsselungs-Trojaner Variante im Umlauf - moin moin, ich schaffe es nicht, einen Rechner zu infizieren. Hintergrund sind Tests mit BackUps, vor Allem das Verhalten bei SecureZone Partitionen. Ich habe dazu extra ein System vorbereiten. IntelCore2Duo, - Neue Verschlüsselungs-Trojaner Variante im Umlauf...
Archiv
Du betrachtest: Neue Verschlüsselungs-Trojaner Variante im Umlauf auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.