Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Neue Verschlüsselungs-Trojaner Variante im Umlauf

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 17.05.2012, 17:22   #16
VannyJoan
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Ok ... ich merke gerade, das ich meine Bilder, Musik usw. auch nicht öffnen kann ... Bin gerade echt geschockt. Hoffe jemand findet bald die Lösung

Alt 17.05.2012, 17:54   #17
markusg
/// Malware-holic
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



logs bitte im unterforum logfiles posten
__________________

__________________

Alt 17.05.2012, 20:25   #18
leahciM
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hallo Väter!


Ich habe eine Testreihe von kleinen (gleichen!) Bildern in unterschiedliche Ordner gepackt, ihnen u.a. unterschiedliche Namen gegeben und in der VM die "Rechnung.pif" gestartet.

Das Ergebnis ist desaströs. Alle Dateien wurden unterschiedlich verschlüsselt. Kein Dateiname ist gleich, kein Inhalt mit einem anderen Vergleichbar.
Die Dateien habe ich angehängt. Die Pif-Datei habe ich auch gerade an Markus geschickt.


Michael
__________________

Geändert von leahciM (17.05.2012 um 20:36 Uhr)

Alt 17.05.2012, 20:36   #19
fischer_andy
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hallo Leute.
Seh ich das richtig, dass es in diesem Thread auch um den Ransom geht, aber in einer anderen Variante? Bei mir ist´s der Effekt, dass die Dateien an sich nicht verschlüsselt sind, wohl aber die Dateinamen. Die Namen sind auf den ersten Blick völlig wirr. Mit Groß- und Kleinbuchstaben. Jedoch immer OHNE Erweiterung wie .doc, .xls, jpg, .pdf usw..
Das macht es mir schwer, die Dateien wiederherzustellen. Es "geht schon". Aber es ist halt ein Riesen-Aufwand bei 20.000 Dateien. Schön wäre hier ein Tool, das den Dateityp erkennt und danach wenigstens die Endung wiederherstellt.

Ich weiß nicht, ob der Dateiname völlig zufällig generiert wurde oder ob auch hier System dahinter steckt.

Weiß hier jemand mehr darüber?

LG
Andreas

Alt 17.05.2012, 20:40   #20
an-it-a
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hi,

mein Bruder hat den Trojaner heut eingefangen und kommt nun weder ins netz noch an seine Dateien da die Fehlermeldung bzw. diese Verschlüsselung immer schneller greift! Was kann ich tun um den Trojaner zu löschen bzw. um wenigstens an seine Daten zu kommen?
Warum greift da eine Anti Virus Software nicht?

Danke und viele Grüße,
Anita


Alt 17.05.2012, 20:58   #21
neuromancer_
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Guten Abend liebes trojaner board

Ich habe auch gerade einen Laptop von einer Bekannten hier, mit dieser Variation des Ukash Trojaners.

Kein programm das es hier gibt hat zum entschlüsseln funktioniert.

Ich habe das dann so gelöst:

Auf dem Laptop war Vista Home drauf.
Ich habe erstemal Malewarebyte und andere Antivirus Programme im abgesicherten Modus laufen lassen, keins der Tools hat aber etwas gefunden.

Also habe ich mal einen Systemwiederherstellungspunkt geladen, dann konnte ich schonmal normal ins Windows.
Dann habe ich mit dem Shadow Explorer von allen relevanten Dokumenten eine Schattenkopie bzw Vorgängerversion auf eine Externe HD gespeichert und dann alles Platt gemacht

Also wenn man die Schattenkopien bzw Wiederherstellungspunkte von Windows aktiviert hat, wäre das eine möglichkeit an die Daten wieder ranzukommen.

Geändert von neuromancer_ (17.05.2012 um 21:07 Uhr)

Alt 17.05.2012, 21:01   #22
fischer_andy
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Geht aber nur für jede Datei einzeln, oder?
Und - macht die auch Dateinamensänderungen rückgängig?

Ich glaub nicht.

Alt 17.05.2012, 21:04   #23
Forrest74
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hallo,

meine Freundin hat sich dieses Ding heute auch eingefangen.

Nach Entfernung konnten wir sehen was passiert ist

Auf LW C sind die verschlüsselten Dateien nicht zu öffnen, haben aber noch die gleichen Dateinamen.

Auf LW D sind die Dateien auch nicht zu öffnen, haben allerdings auch kryptische Dateinamen (z.b. tLsOXdnegqdvexqTJEGr, sNLfJDUjaQqtNpxL usw.)

Ein Vergleich eines Windows-Standard-Bildes zeigt das der Anfang der Datei verändert ist, der Rest der Datei aber nicht. von (00000 bis 03000 sind die Dateien anders, der Rest ist gleich)

Versuche gleich nochmal zu schauen ob ich an die Email rankomme wo es drin war und werde sie an Markus schicken.


Was mich wundert ist das auf LW C die Dateien die Originalnamen haben, auf LW D aber umbenannt worden sind.

Grüße


edit : Die ACHTUNG-LESEN.txt wie leahciM hatten sie auch auf dem Desktop liegen.

Alt 17.05.2012, 21:06   #24
neuromancer_
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



@fischer_andy
Nein, man kann direkt ganze Ordner wiederherstellen

Alt 17.05.2012, 21:25   #25
fischer_andy
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Und was steht in der "achtung lesen.txt" ?

Alt 17.05.2012, 21:30   #26
neuromancer_
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



steht auf der ersten Seite im ersten Post

Alt 17.05.2012, 21:46   #27
Forrest74
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hallo nochmal,

folgende Einträge gab es von Malware....

Zitat:
C:\Users\Jenny\AppData\Roaming\Yfwtnpcnzg\E2732B63846C7225A4EC.exe (Trojan.Agent.RNSGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
Zitat:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|846C7225 (Trojan.Agent.RNSGen) -> Daten: C:\Users\Jenny\AppData\Roaming\Yfwtnpcnzg\E2732B63846C7225A4EC.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
Vielleicht ist das ja auch von Interesse

Grüße

Alt 17.05.2012, 23:07   #28
leahciM
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Ich habe nochmal die VM zurückgesetzt und das gleiche Bild in 128 nummerierte Ordner kopiert. Leider sind alle 128 Dateien unterschiedlich, auch der Dateiname unterscheidet sich in allen Dateien.
Vorher noch einen Registryabzug gemacht und dann "Rechnung.pif" gestartet.
Nachher wieder einen Abzug der Registry.
Die beiden Dateien lade ich gerade per Upload hoch.

edt: Sind fertig, kann man das irgendwie sehen? Da kam keine Meldung.


Michael

Geändert von leahciM (17.05.2012 um 23:33 Uhr)

Alt 18.05.2012, 00:26   #29
uwenrue
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Moin zusammen,

wie das so ist, komme mittags vom Dienst und unterdessen ist die Frau Gemahlin in die Falle getappt...

Nun habe ich verschiedene Threads zu dem Thema gefunden, ich schreibe jetzt einfach mal hier rein, hoffe das ist so richtig.

"Unser" Trojaner ist offenbar von der Variante 1.140.1, d. h. die Dateinamen sind nun eine wirre Zeichenfolge. Eine befallene Datei, die ich mit dem Original vergleichen konnte (mit Windows Editor geöffnet), ist am Anfang unterschiedlich, weiter hinten jedoch wieder gleich. Entschuldigt bitte daß ich das jetzt nicht in Bits und Bytes ausdrücken kann, so gut weiß ich damit leider nicht Bescheid...

Wie stellt sich der Schaden dar: Der Trojaner kam per Mail mit einem vermeintlichen Rechnungsanhang. Die Mail ist nun nicht mehr zugänglich, weil verschlüsselt. Der Rechner lief wohl noch eine Zeit lang normal weiter, irgendwann kam das Fenster mit der Zahlungsaufforderung per Ukash. An dieser Stelle hat meine Frau nichts weiter getan und die Finger davon gelassen.

Die Maus ließ sich noch bewegen, aber die Tastatur reagierte nicht mehr (wollte mal probehalber was in eins der Eingabefelder schreiben).

Rechner ausgeschaltet und neu gestartet. Der Anmeldebildschirm, wo man das Nutzerprofil anwählen kann, erschien ganz normal, ich konnte mich mit meinem Profil anmelden. Auffällig: Mein Hintergrundbild war weg, konnte ich aber über Rechtsklick > Eigenschaften > Desktop wieder zurückholen. Vier oder fünf meiner Desktopverknüpfungen waren verschlüsselt und zerstört. Die Symbole (Bildchen) für "Arbeitsplatz", "Netzwerkumgebung" und "eigene Dateien" sind nicht mehr da, die Verknüpfungen funktionieren jedoch weiterhin.

Auf allen 4 Laufwerken (C: System, D: Programme, E: Daten, F: Backups) sind zahlreiche Dateien befallen. Auffällig: Meine Backups auf F:, erstellt mit Paragon Drive Backup, wurden, vom Zeitstempel her (08:12 Uhr) als erstes vom Trojaner bearbeitet, alles andere während der folgenden 4 Minuten.

Hauptsächlich wurden Dateien in "Dokumente und Einstellungen" verschlüsselt, allerdings auch sämtliche Ordner unserer Homebanking-Software Star-Money (was ganz besonders ärgerlich ist...).

Interessant: Dateien mit den Endungen .dat, .ini, .inf, .log, .db wurden offenbar verschont, auch innerhalb ansonsten komplett verschlüsselter Ordner.

DecryptHelper.exe und Avira Ransom File Unlocker konnten nichts ausrichten. Avast Antivirus und Malwarebytes Anti-Malware haben nichts gefunden. Vom "sauberen" Laptop, auf dem Avira Antivirus installiert ist, komme ich übers Netzwerk nicht auf den befallenen Rechner (kostenlose Programmversion geht nicht mit Netzlaufwerken), so daß ich mir nicht sicher bin ob der Trojaner nun noch auf dem "großen" Rechner ist oder nicht. Die Festplatten auszubauen, hatte ich noch keine Zeit (und, um ehrlich zu sein, noch keine Nerven).

Ach ja, der Vollständigkeit halber: Der infizierte Rechner läuft mit Win XP SP3, zwei Benutzerkonten eingerichtet. Mit meinem kann ich halbwegs arbeiten, schreibe ich auch gerade von. P.'s Nutzerkonto habe ich bislang nicht versucht aufzurufen, traue mich jetzt irgendwie auch nicht, ebensowenig wie den Rechner nochmal neu zu starten.

Ich hoffe, ich konnte mit der Schilderung vielleicht ein klein wenig beitragen, das Problem einzugrenzen und vielleicht gar zu lösen. Falls zweckdienlich, kann ich gern ein paar Dateipaare (kaputt - heile) beisteuern, wenn gewünscht, wie stelle ich's am besten an? Per Mail an Markus, oder besser hier irgendwie hochladen? Sorry, in der kürze der Zeit konnte ich mich noch nicht so eingehend einlesen, wie sich das eigentlich gehört wenn man neu in einem Forum ist...

So, jetzt gehe ich schlafen, aber nicht, ohne mich GANZ HERZLICH bei allen zu bedanken, die hier ihre kostbare Zeit drangeben, um uns mit unseren Problemen, welcher Art auch immer, zu helfen!!!!

Gute Nacht und viele Grüße

Uwe

Alt 18.05.2012, 00:57   #30
leahciM
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Ich habe mir jetzt mal erlaubt, in der Delphi-Praxis ein Posting zu setzen, welches um Hilfe bittet und auf dieses Posting verweist.
Mein Aufruf: hxxp://www.delphipraxis.net/168380-verschluesselungs-trojaner-hilfe-benoetigt.html

Antwort

Themen zu Neue Verschlüsselungs-Trojaner Variante im Umlauf
256 bit, 256 bit aes schlüssel, abmahnn, computerverschlüsselungstrojaner, mahnung.zip, rechnung.pif, sie haben sich mit einen windows-verschlüsselungs trojaner infiziert, spam-mails, tr/skelf.a, trojan.matsnu.1, trojan.winlock, trojan:win32/matsnu.gen!a, verschlüsselungs-trojaner, virus verschlüsselt, wickel, willkomen bei windows update, win32/trustezeb.b, windows notfall sicherheits-update center




Ähnliche Themen: Neue Verschlüsselungs-Trojaner Variante im Umlauf


  1. XcodeGhost: Neue Version von manipuliertem Apple-Entwicklungstool im Umlauf
    Nachrichten - 04.11.2015 (0)
  2. Neue DHL-Mail Variante?
    Diskussionsforum - 29.05.2015 (2)
  3. Neue Familie von Erpressungs-Trojanern Umlauf
    Nachrichten - 15.08.2013 (0)
  4. Bundestrojaner neue Variante?
    Plagegeister aller Art und deren Bekämpfung - 26.03.2013 (28)
  5. BKA Trojaner neue Variante "Der Computer ist für die Verletzung der Gesetze der Bundesrepublik..."
    Plagegeister aller Art und deren Bekämpfung - 05.08.2012 (2)
  6. Windows-Verschlüsselungs-Trojaner (Neue Art)
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (1)
  7. Verschlüsselungs Trojaner BKA GEMA Variante
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (1)
  8. Neuer Verschlüsslungs Variante in umlauf
    Diskussionsforum - 13.07.2012 (7)
  9. Verschlüsselungs-Trojaner, Neue Version
    Plagegeister aller Art und deren Bekämpfung - 13.06.2012 (1)
  10. Rechner befallen von ...... Neue Verschlüsselungs-Trojaner Variante im Umlauf
    Plagegeister aller Art und deren Bekämpfung - 12.06.2012 (1)
  11. Verschlüsselungs-Trojaner Variante
    Plagegeister aller Art und deren Bekämpfung - 03.06.2012 (1)
  12. Neue Variante von Ukash
    Log-Analyse und Auswertung - 23.10.2011 (34)
  13. Bundespolizei: Neue Variante vom 'Bundes-Trojaner'
    Plagegeister aller Art und deren Bekämpfung - 09.09.2011 (5)
  14. Neue Mails im Umlauf
    Plagegeister aller Art und deren Bekämpfung - 21.03.2007 (1)
  15. neue Variante von W32.Netsky ?
    Plagegeister aller Art und deren Bekämpfung - 15.04.2005 (10)
  16. Neue Blaster Variante?
    Plagegeister aller Art und deren Bekämpfung - 02.09.2003 (4)

Zum Thema Neue Verschlüsselungs-Trojaner Variante im Umlauf - Ok ... ich merke gerade, das ich meine Bilder, Musik usw. auch nicht öffnen kann ... Bin gerade echt geschockt. Hoffe jemand findet bald die Lösung - Neue Verschlüsselungs-Trojaner Variante im Umlauf...
Archiv
Du betrachtest: Neue Verschlüsselungs-Trojaner Variante im Umlauf auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.