|
Diskussionsforum: Neue Verschlüsselungs-Trojaner Variante im UmlaufWindows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
24.05.2012, 23:09 | #316 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Du kannst doch die passwortgeschützte ursprüngliche .zip Datei nehmen und an Markus schicken... die .pif Datei würde ich auch nicht anfassen: ausversehen doppelklick und der "Spaß" geht von vorne los.. das würde ich auch nicht riskieren. |
25.05.2012, 00:13 | #317 | |
| Neue Verschlüsselungs-Trojaner Variante im UmlaufZitat:
Wäre aber mal lustig zu sehen, wass passiert, wenn die verschlüsselung da nochmal drüberrattert, vielleicht sind meine Files dann wieder entschlüsselt. |
25.05.2012, 00:27 | #318 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Schön das wir den Humor noch behalten :-) Daumen hoch, lach
__________________Trozdem würd ich gern mal mit so einem Typen der sowas anstellt gern mal ein paar Takte reden, aber die verstecken sich lieber hinterm PC |
25.05.2012, 08:51 | #319 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Guten Morgen zusammen, Hatte den Schädling jetzt auch schon auf mehreren PCs, bei allen Geräten sind alle Dokumententypen JPG, PNG, PDF und die Office-Palette verschlüsselt. Gemeinsam ist, dass im Auslieferungszustand des Systems enthaltene Dokumente (z.B. die Beispielbilder) nicht verschlüsselt wurden. Wohl kein Zufall. |
25.05.2012, 08:52 | #320 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf ich weiß nicht, obs auf den 32 Seiten davor schon jemand geschrieben hat, aber bei dem pc den ich hier stehen hab siehts so aus: 300 gig Festplatte partitioniert mit C (Winxp) und D (Daten). Die meisten Dateien schauen so ähnlich aus: DLLvJyxDljAgOdUaT Einige Files haben aber noch die Originalnamen, zb IMG_1234.jpg Gestern hab ich stichprobenartig auf der C Partition die kryptischen Dateinamen mit einer Endung versehen (wenn ich aufgrund des Ordners Rückschlüsse auf den Inhalt hatte). zB DLLvJyxDljAgOdUaT => DLLvJyxDljAgOdUaT.jpg Ich konnte auf diese Weise Files verschiedener Dateitypen (mp3 jpg html...) öffnen und somit den Inhalt von Eigene Dateien (Eigene Bilder, Eigene Musik) wiederherstellen. Die Dateinamen bleiben aber kryptisch. Leider funktioniert das ganze NICHT auf der D Partition. Hier scheint am MFT was nicht zu stimmen, da kenne ich mich aber zu wenig aus und hoffe auf die Experten hier im Forum. bg Hubert PS: Den Trojaner hab ich übrigens mit der Kaspersky Rescue Disc 10 und dem darauf enthaltenen WindowsUnlocker runterbekommen. |
25.05.2012, 09:36 | #321 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo Leute, ein Kunde von mir hat sich die neue Verschlüsselungsvariante eingefangen. Aufvorderungsbild zum Zahlen ist immer noch gleich, nur die Verschlüsselungsart hat sich geädert. Die Dateien werden nicht mit locked-xxxxx.xxx umbenannt, sondern in einen wirren Buchstabensalat wie xOTVJEsrjUQnxOyX und bei dem Datum wird die Uhrzeit um eine Stunde nach hinten verschoben, Größe bleibt unverändert. Ich lade mal ein Pärchen Original-Verschlüsselt hoch und hoffe es findet bald jemand den Schlüssel. Gruß H.-Jörn Schneckenburger |
25.05.2012, 09:54 | #322 |
/// Malware-holic | Neue Verschlüsselungs-Trojaner Variante im Umlauf @DerC88 du meinst windows beispiel bilder? dann kann ich deine beobachtung nicht bestätigen @daHubert woher willst du wissen das du alle trojaner runter bekommen hast. richtig ist: du hast die teile des trojaners runterbekommen, die kaspersky findet. für alle weiteren aussagen ist eine genaue analyse des pcs nötig. @hansjoern darüber sprechen wir doch bereits seit einigen seiten, man sollte das was die vorredner schreiben auch lesen :-) kommst du noch an den auslöser? an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert. wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ: .eml einstellen. dann bitte lesen: makrusg - trojaner-board.de und mir die soeben erstellte datei zukommen lassen. wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen. sie können dann dorthin solche verdächtigen mails senden. diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
25.05.2012, 11:03 | #323 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Hi! Ich lese diesen Thread schon paar Tage lang und muss, obwohl ich nicht infiziert bin, doch mal was fragen! (Hoffe es stört euch nicht) Der Virus kommt per Email...also per Anhang, den man dann öffnet! OK! Würde Avira Free den Anhang erkennen? Natürlich würde ich nie Anhänge öffnen, wo ich nicht weiss, von wem die sind und bestellen tu ich nur über Amazon. Und dann möchte ich noch fragen, ob es wohl eine Infizierungsart per Drive by Download geben könnte oder gibt? Halt per Java, wie der Bundestrojaner. Da hätte ich schon etwas paranoia davor, weil sowas hat man sich ja schnell eingefangen! Danke euch und bleibt am Ball! |
25.05.2012, 11:33 | #324 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo, bitte Freunde,Bekannte von euch Warnen das sie Emails mit Verdächtigen Anhängen nicht öffnen sollen, dieses auch bei Facebook Stayfriends usw. Posten. Falls ihr noch solche Mail haben solltet, dann bitte an markusg@trojaner-board.de als eml. weiterleiten. |
25.05.2012, 11:33 | #325 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf News: AOL hat mir die letzten 24h rechnung.zip z.B. erkannt. Heute auf einem Kunden rechner ein neuer Eingang der von AOL nicht erkannt wurde und ein Weiterleiten an markus war möglich. Hinweise.zip Rechnung: 701816-786213453220904 Hallo Christiane, Ihr Konto ist überfällig. Bitte begleichen Sie Ihre ausstehende Rechnung vollständig, da wir sonst Ihre Möglichkeiten bei eBay einkaufen und verkaufen zu können, einschränken müssen. Ihre eBay-Rechnung für den Zeitraum vom 27. April 2012 bis zum 19. Mai 2012 ist jetzt im Anhang zu sehen. Fälliger Betrag: €117,67 Zahlung ist jetzt fällig. Bitte beachten Sie, dass bei einer Zahlungsverzögerung, Ihnen Mahngebühren angerechnet werden können. Ihre Bestellauflistung und Stornierung Möglichkeiten finden Sie auch im Zusatzordner in der E-Mail. Hinweis: eBay fragt niemals per E-Mail nach vertraulichen oder persönlichen Daten (z.B. Passwort, Kreditkarte, Kontonummer). Vielen Dank, dass Sie eBay nutzen. Mit freundlichen Grüßen, eBay eBay hat diese Nachricht an Christiane gesendet. Ihr Name in dieser Nachricht ist ein Hinweis darauf, dass die Nachricht tatsächlich von eBay stammt. Mehr zum Thema: eBay: Redirect Dies ist eine automatisch generierte E-Mail. Bitte antworten Sie nicht darauf. |
25.05.2012, 12:13 | #326 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo an alle! Ich bin neu hier und hoffe jetzt mal alles richtig zu machen. Auf dem PC meiner Schwaegerin hat sich nach oeffnen eines Anhanges einer E-Mail der schon beschrieben UKash Virus breitgemacht. Es erscheint der Bildschirm 100 Euro fuer die Entsperrung zu bezahlen. Ich kann den PC nur noch mittels reatogo xp pe hochfahren. Die Daten auf Partition D sind noch alle vorhanden und lesbar. PC ist von HP. Betriebssystem Windows XP SP3. Ich habe mir OTLPE herunter geladen und konnte es auch auf diesem PC installieren. Wenn ich das Programm laufen lasse erstellt es kein Logfile. Koenntet ihr mir vielleicht weiterhelfen! Gruss Klaus |
25.05.2012, 13:16 | #327 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Leute, ich gehöre auch zu denen deren Daten so kryptisch verschlüsselt sind. Heute ist mir was aufgefallen und zwar bei meinen verschlüsselten Bildern. Bei ALLEN Bildern ist das Erstellungsdatum der 13.Februar 1601 um 09:28:18 Wie kann das sein? Und auch wenn ich jpg als Endung hinzufüge kann ich die Bilder nicht öffnen Ich will meine Bilder und meine Musik zurück |
25.05.2012, 13:23 | #328 |
/// Malware-holic | Neue Verschlüsselungs-Trojaner Variante im Umlauf @BIOTEC es gibt kein programm mit 100 %iger erkennungsrate. wegen den driveby downloads. wer ne sandbox nutzt, (sandboxie) und programme wie file hippo zum updaten und noch einige andere, hier im forum stehende tipps beachtet, braucht kaum angst vor drive by downloads zu haben. meines wissens nach wird das teil nicht so verbreitet, aber kann kommen :-) @litzedv leite die mail an mich weiter: makrusg - trojaner-board.de @KlausR bitte thema im logfile bereich erstellen.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
25.05.2012, 13:36 | #329 | |
| Neue Verschlüsselungs-Trojaner Variante im UmlaufZitat:
mein Dad hat letztens auch auf so n tollen Anhang geklickt. Habe die Viren runterbekommen, allerdings sind jetzt alle Daten verschlüsselt (im Stile von "DLLvJyxDljAgOdUaT"), außer Windows und z.b. auch Firefox, welchen ich grade hier benutze. Die e-mail sah folgendermaßen aus Code:
ATTFilter Vielen Dank für Ihren Auftrag, Sie haben gerade bei der Datingwebseite www.Local24.de die Elitemitgliedschaft erworben. Die Zahlung in Höhe von 465,69 EUR wird in den nächsten Tagen von Ihrem Konto abgebucht. Der Einzug erfolgt durch Sogyment AG. Sie sind jetzt für die nächsten 12 Monate Premiummember und können in vollen Umfang die Eliteangebote nutzen. Entziehen Sie die Vertragsdetails bitte dem Zusatzordner in der E-Mail, dort finden Sie auch die Vertragsdetails und Premiumdienstvorteile. Falls Sie die Starmitgliedschaft nicht mehr wünschen, mailen Sie die Kündigung, mit der in dem zugefügten Ordner, beigelegten Kündigungserklärung. Das Team wünscht dir viel Liebe. Mit besten Grüßen Dieter Schwarz Support-Team München 70637 Deutschland Telefon: +49-318-42429539 Geschäftsleiter: Hans Peters Inhaltlich Verantwortlicher gemäss § 6 MDStV: Renate Weber Datenschutzbeauftragter: Maria Pichler UST-Nr.: DE6190666778 Amtsgericht Augsburg Es ist absolut wichtig für meinen Dad irgendwie noch an die Datwen (vor allem die Bilder) zu kommen. Gerne schicke ich dir auch die *.eml, wenn du mir sagst, wie man diese mit web.de erstellt. Über Hilfe würde ich mich freuen. MFG |
25.05.2012, 13:38 | #330 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Huhu Janine, du hebst aber auch wirklich jeden alten Mist auf Spass bei Seite, ich würde Dir empfehlen, einfach noch ein bisschen zu warten, ob der zündende Funke bezüglich der Verschlüsselung noch kommt. Ansonnten gibt es in diesem Thread schon eine Möglichkeit für JPGs: http://www.trojaner-board.de/115551-...e-version.html Denk aber daran, dass du die Originale bitte aufhebst, falls es möglich ist die Files sauber zu entschlüsseln, dieses sollte erstmal nur eine Notlösung sein, da der verschlüsselte Bereich ja in jedem Falle flöten geht. Darüber hinaus einmal die Frage an alle Entschlüsselungsspezialisten, gibt es von Eurer Seite schon ein paar neue Erkenntnisse ? Es ist in den letzten 24 Stunden sehr ruhig, die fruchtbare Suche ist ohne Erfolg, die Anzahl an Seuchenvögeln nimmt zu und mein Ideenfundus ist vollständig geleert. Aktuell sieht dass Verfahren bei mir vor einen sektorbasierten Clone der Festplatten in die Ecke zu legen und den Rechner neu aufzusetzen. In der Hoffnung in den nächsten Tagen einen Rückruf tätigen zu können. So far... fdy |