Zitat:

Zitat von daboeng

Hallo zusammen,
ich muß auch kurz was zum Thema beitragen...
Ich habe gestern morgen auch diese dämliche Email von Flirt Fever bekommen und daraufhin unüberlegter Weise den Anhang entpackt. Nachdem ich dann hier gestern den ganzen Tag mit Beiträgen lesen verbracht habe, habe ich heute morgen im abgesicherten Modus den Malwarebytes Anti-Malware drüberlaufen lassen und zwei betroffene in die Quarantäne geschickt. Danach ebenfalls im abgesicherten Zustand Avira Anti Vir und Sybot Search and Destroy drüber und neu gestartet. Alles noch da, nix verschlüsselt.. ob das reicht?

Nix verschlüsselt? Du Glückspilz.
Dann hat er wahrscheinlich ein Kommunikationsproblem mit dem C&C Server gehabt.
Jetzt bist Du ja wieder normal angemeldet, also mit Deinem Benutzernamen.
Obwohl Malwarebytes das erledigt haben sollte, würde ich nochmal einen Scan machen.

Taskmanager und regedit gehen, oder bist Du irgendwo noch ausgesperrt?

Volker

Zitat:

Zitat von uni87

Ich kann mir gut vorstellen das es genügend Helle Köpfe gibt,
die diesen Virus "lesen" können bzw so modifizieren können,
das er genau das selbe tut, halt nur umgekehrt...
Das wird doch tagtäglich so gemacht,
User senden Viren an XY, diese lesen ihn aus und
entwickeln nen Gegenvirus bzw wie in meinem Fall benötigt,
DecrypterProgramme...

Und was denkst Du, weshalb die professionellen Hersteller von Antivirenprogrammen noch nix haben?
Die haben sowohl personell als auch materiell ganz andere Voraussetzungen als wir.

Vielleicht sind die aber zu dem selben Ergebnis gekommen wie unsere Coder.

@ Undertaker, ja, sehr kurios die Geschichte, also ich hatte genau das gleiche Bild auf dem Schirm nachdem ich den Anhang entpackt habe. Als ich mich dann heute morgen nach Durchlauf der Programme wieder normal angemeldet habe, war auch die Email nicht mehr im Eingang sondern in den Papiekorb verschoben. Ich werde aber - sobald ich wieder vor MEINEM Pc sitze noch mal Deinen Rat befolgen, ob alles läuft oder ich noch irgendwo ausgesperrt bin. Im Voraus auf jeden Fall schon mal ein dickes Lob an dieses Forum, bin absoluter Laie in Sachen PC und habs augenscheinlich doch geschafft....

Auch wenn es schon ein paar Mal erwähnt wurde:

Bei der Verschlüsselungsvariante mit ddGGssqqVVsssA als Namen gibt es inzwischen verschiedene Rettungsmöglichkeiten für Bilder:

Windows:
* JPEG Recovery (kostenpflichtig, siehe http://www.trojaner-board.de/115551-...e-version.html funktionierte bei mir)
* JPEG Snoop (kostenlos, siehe gleiche Link wie bei JPEG Recovery, funktionierte bei mir _nicht_, bei den zwei von mir verwendeten Bildern!)

Linux (kostenlos):
* recoverjpeg (kam glaube ich in diesem Thread, klappte bei mir bei den 2 von mir getesten Dateien nicht, weiss nicht ob es bei anderen Bildern klappen würde)
* foremost (kam auch schon irgendwo, vielleicht auch in diesem Thread, er läuft grade und findet definitiv Sachen, wobei ich nicht sagen kann, ob er die eigentlichen Dateien "wiederherstellt" oder einfach gelöschte findet, da er ja die gesamte Festplatte scannt)

PS: an alle die denken man kann den Virus einfach "rückwärts" laufen lassen.. äh nein. Er könnte aus dem Internet einen Schlüssel temporär bekommen und den anschließend wieder vergessen oder noch perfider einfach einen zufälligen generieren und diesen dann natürlich vergessen. Ohne den Schlüssel kannst du nix rückgängig machen.

Cheers,
Savar

@Savar,
danke dass Du nochmal darauf hingewiesen hast.
Du gehörst zu den 20%, die sich die Mühe machen zu lesen.

Volker

Hi,

wollte mich auch mal zu diesem Trojaner äussern. Es hat so den Anschein, als würde er als key zum verschlüsseln eine ID der Partition des befallenen Rechners hernehmen, diese dann mit md5 hashen und das dann als endgültigen Key nehmen. Also da ist mit Rückwärts machen net so viel. Das doofe ist dann auch wenn man die verschlüsselten Daten sichert sein System neu installiert und darauf hofft die Daten später wieder decrypten zu können hat wohl auch pech, denn die ID der Partition ändert sich beim reinstall. Also auch hier gilt "besser man hat ein Backup".

Ein paar Fragen:
Was vermutet ihr, versprechen sich eigentlich genau die Entwickler dieses Schädlings davon?
Hoffen sie darauf, dass jemand die 100 Euro zahlt oder gar diese horrenden Summen aus den Mails überweist (obwohl, wohin eigentlich?)?
Oder machen die das einfach nur, weil sie soviel zerstören wollen, wie möglich?
Aber was bringt denen das dann genau? Sitzen die mit 'nem breiten Grinsen vorm Bildschirm und freuen sich 'nen Ast, wenn sie lesen, dass andere Leute viele schöne Erinnerungsfotos, oder Studienarbeiten, oder Filmarbeiten oder oder oder verloren haben? Wie habe ich mir das vorzustellen?

Meine Meinung: Wenn man schon soviel Computerwissen hat, dann kann man doch ganz legal damit sehr viel Geld verdienen, also warum dann diesen Weg wählen?

Hi sonshice,

also einige Kunden von uns z.B. haben wirklich die 100€ gezahlt, passiert ist dann natürlich nichts. Die Autoren solcher Malware haben dann natürlich auch die Kontrolle über die befallenen Rechner und können damit dann z.B weitere Malware in Umlauf bringen oder DDoS auf Webserver fahren, oder ein Botnetz aufbauen usw.

gruß
-icaros

ich weiss nicht mehr weiter, bitte um hilfe das der rechner wieder läuft. wie kann ich den mist loswerden? bitte um eine einfache gute für einen der wenig ahnung vom pc hat anleitung danke

Log entfernt //cosinus

@Blackvision,
sowas haben wir nun schon hundertfach gesehen.

Was willst Du uns mit dem Inhalt der mail sagen?
Dass Du den Anhang geöffnet und ausgeführt hast?
Wenn ja, warum?
Oben steht:

Diskussionsforum: Neue Verschlüsselungs-Trojaner Variante im Umlauf. Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches. Störer werden "sanft aus dem Raum begleitet"

ich weiss nicht mehr weiter, bitte um einen rat das der rechner wieder läuft. eine einfache gute für einen der wenig ahnung vom pc hat anleitung danke

ich will nicht spammen oder einen hilfe ruf absetzten, nur ich lese seid std hier im forum und weis nimmer weiter was nun zu tun ist

Fullquote entfernt //cosinus

@Blackvision,
Du hast doch schon ein Thema unter "Plagegeister" gestartet.
Warte doch erst mal ab, bis sich ein Helfer darauf meldet.

Auch wenn Du das Logfile hier noch 10 mal postest, was übrigens nicht den Regeln entspricht, wird das nicht besser.

Mache erstmal mit Deinem Helfer das System sauber.
So wie ich das im Log sehe, ist das noch komlett zu.

Volker

Hallo,

habe nun von einige Membern hier schon Bilder geschickt bekommen.

Stand der Dinge (gilt hier nur für JPGs) :

JPEG Recovery ist noch die beste Lösung, wenn auch Kostenpflichtig. Die Linux-Lösung scheint ähnlich gute Ergebnisse zu bringen, dann wohl auch kostenlos. Habe leider nicht die Zeit das zu testen, evtl. müsste man mit Keks mal ein paar Bilder tauschen und schauen wieviel die jeweiligen Programme wieder herstellen.

User1 : Bei ihm konnte ich mit einem Schwung konnte ich auf Anhieb ca. 200 von 600 Bildern wieder herstellen. (Warte auf Referenz-Bild für den Rest)

User 2 : Hatte selber schon Bilder von 2 Kameras selber wieder hergestellt. Die Bilder von der 3. Kamera waren nicht wieder herzustellen. Daraufhin habe ich es geschafft auch diese 3 Test-Bilder der Kamera mit einem Referenz-Bild von dieser Kamera wieder herzustellen.

User 3 : Konnte nicht wieder hergestellt werden, evtl. mit Referenz-Bild

User 4 : Test-Dateien die geschickt wurden konnten wieder hergestellt werden.

nur ein Auszug Daher müssen alle die sich jetzt noch melden etwas Wartezeit einplanen. Alles eingehenden Bilder werden gespeichert und, wie es die Zeit erlaubt, bearbeitet.

wie man sieht ist JPEG-Recovery nicht DIE Lösung aber es stellt zumindest schon mal einige Bilder wieder her was diverse andere Programme nicht geschafft haben. Den Rest kann man denke ich mal mit Referenz-Bildern (wie bei User 2) wieder herstellen, daran arbeite ich aber noch. Evtl. wir daraus ein kleines Tool welches in Verbindung mit JPEG-Recovery genutzt werden kann. Aber genaueres dann die Tage.

Jetzt müssen wir nur noch Lösungen für Word und Exel-Dateien finden Aber ich kümmer mich jetzt primär um die JPEG-Sachen.

Grüße

Hallo,

wie es ein User ein paar Seiten vorher schon beschrieben hatte, bin ich bei meinen "Kundenarbeiten" ebenso schon zum 2ten oder 3ten Mal auf diese Variante gestoßen die zwar die bekannte "Achtung_lesen.txt" (o.ä.) auf dem Desktop hinterlegt und auf die Verschlüsselung hinweist - eine Verschlüsselung ist dann aber jeweils nirgendwo auf dem Rechner zu entdecken gewesen.

Es könnte sich hierbei also tatsächlich wohl um eine "neue" Variante handeln. Warum diese aber nur so einen nervigen Screenblocker erstellt und nichts sonst verursacht, das weiß ich natürlich (leider nicht).

Nur eine Vermutung:
Das Teil könnte es ja in ein Script-Kiddie Baukastensystem geschafft haben und da so modifizierbar sein das es "keinen Schaden" anrichtet. Denkar?!


Grüße,
Wavetable

@wavetable
ich habe den Befehl "file" auf die verschlüsselten Dateien los gelassen. Als Ergebnis kam "data". Das ganze habe ich, mal wieder, unter Linux gemacht und der Befehl "erkennt" die Dateitypen nicht an Hand der Endung wie ein Windows. Wenn es sich um ein jpg handelt, als Beispiel, wird es angezeigt, auch wenn das irgendwas.jpg hanszuzu heisst.
Aber, es gibt viele Versionen des Trojaners, wenn Dich so etwas befallen hat ist es "nur" halb so wild.

Ich kann eh gerade nicht schlafen, daher möchte ich nochmal einen Gedanken los lassen.
Das Verschlüsseln funktioniert, imho so, dass der Algorithmus die Datei nimmt und in einen Container Packt und das Original "löscht". Modifizier Datum, rechte usw. werden an den Container übergeben.
Da löschen nicht gleich löschen ist, sollten alle Dateien noch auf dem Dateisystem erhalten sein.

Habe ich hier einen falschen Gedankengang?

Gruß
Keks5

Zitat:

Zitat von Keks5

Habe ich hier einen falschen Gedankengang?

Ja, der Vorgang ist etwas anders.
Alle Laufwerke werden nach Datei durchsucht.
Zu jeder gefundenen Datei wird ein neuer, zufälliger Dateiname festgelegt ( Groß- und Kleinbuchstaben) ohne Extension.
Jeder Datei wird ein zufälliger Schlüssel zugeordnet.
Originalname, Zufallsname und Schlüssel zur Datei werden in einer Datenbank zusammengefaßt.
Die ersten 12k der Dateien werden gelesen, der Reihe nach mit dem dazugehörigen Schlüssel + einer immer gleichen Zeichenfolge verschlüsselt und geschrieben. (on the fly, da wird nix gelöscht)

Diese Datenbank wird abschließend 2 mal verschlüsselt und im Temp der Festplatte als Rechner-ID.$02 abgelegt.
Der Schlüssel für diese Datei wird an den C&C Server übertragen und ist auf dem Rechner nicht mehr vorhanden.

Volker

Zitat:

Zitat von Wavetable

Nur eine Vermutung:
Das Teil könnte es ja in ein Script-Kiddie Baukastensystem geschafft haben und da so modifizierbar sein das es "keinen Schaden" anrichtet. Denkar?!

Denkbar ist natürlich Alles.
Ich vermute eher, die Gangster haben Schwierigkeiten mit dem Handling der Server, so dass die Kommunikation nicht gesichert werden kann.
Seit Version 1.140.1 hat sich da nichts grundlegendes geändert.

Volker