Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Neue Verschlüsselungs-Trojaner Variante im Umlauf

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 15.06.2012, 21:58   #841
sonshice
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Das ist ja ein Ding.
Und was soll der Herr Undertaker jetzt machen?

Alt 15.06.2012, 22:45   #842
frure
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hi,
beim rechner meiner freundin hat die neueste variante zugeschlagen. allerdings nur auf files mit ihrer ownership. dafür aber auch auf ihrem backup to disk folder.
ich habe alle üblichen tools schon durch, ich bekomme nicht mal die jpg's entschlüsselt, obwohl ich einige orginale noch habe, shadow copies sind keine vorhanden. ist jemand an ein paar jpg interressiert, sowohl original und encrypted?
__________________


Alt 15.06.2012, 23:01   #843
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Icon32

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Zitat:
Zitat von sonshice Beitrag anzeigen
Das ist ja ein Ding.
Und was soll der Herr Undertaker jetzt machen?
Wieso der Herr Undertaker? Nimmt da mal jmd die Virenscannerhersteller in Pflicht? Können die für den ganzen Schaden nicht mal aufkommen wenn manche schon von ihnen wie (sinngemäß) "unknackberer Schutz", "triple-Scan-Technology" marketingmäßige Sprüche reißen, bei dem jedem Admin eigenlich schlecht wird weil's schlicht dummfug ist?

Oder hat der arme User letzenendes doch allein Schuld weil er niemals Backups für nötig hielt?
__________________
__________________

Alt 15.06.2012, 23:27   #844
sonshice
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



@ cosinus

Das sollte eine Antwort an @reval sein. Da ich meinen eigenen Beitrag komischerweise nicht mehr ändern kann, war es mir nicht möglich, das Zitat von dem User noch einzufügen.

Tut mir leid, wenn es missverständlich rüberkam. Der Herr Undertaker macht hier einen guten Job. Leider muß er sich oft wiederholen, weil einige User offenbar nicht aufmerksam genug lesen. Dafür auf jeden Fall meinen Respekt, denn ich könnte das nicht.

Alt 15.06.2012, 23:33   #845
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hallo sonshice

Ist auch echt so ein scheiss mit dem Verschlüsselungstrojaner
Ich wollte nur meine persönliche rhetorische Note dazugeben zu einem Text von dir, den ich vorhin nicht richtig einordnen konnte. Ist schon völlig ok was du hier machst, weiter so!

Und Herr Undertaker ja dem kann man garnicht genügend danken

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 16.06.2012, 02:49   #846
bombinho
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Zitat:
Zitat von cosinus Beitrag anzeigen
Wieso der Herr Undertaker? Nimmt da mal jmd die Virenscannerhersteller in Pflicht? Können die für den ganzen Schaden nicht mal aufkommen wenn manche schon von ihnen wie (sinngemäß) "unknackberer Schutz", "triple-Scan-Technology" marketingmäßige Sprüche reißen, bei dem jedem Admin eigenlich schlecht wird weil's schlicht dummfug ist?

Oder hat der arme User letzenendes doch allein Schuld weil er niemals Backups für nötig hielt?
Schuld sind alle und niemand. Das ist am bequemsten. Allerdings sind die AV-Hersteller relativ flott. Bei einigen Versionen dieses Trojaner erfolgt Erkennung schon nach ein bis zwei Tagen. Leider nicht schnell genug fuer den Anwender. Allerdings wird von einigen kostenpflichtigen AVs der CC-Serververkehr unterbunden und damit zumindestens die Verschluesselung verhindert.

Alt 16.06.2012, 07:48   #847
Undertaker
/// Helfer-Team
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Zitat:
Zitat von bombinho Beitrag anzeigen
Allerdings wird von einigen kostenpflichtigen AVs der CC-Serververkehr unterbunden und damit zumindestens die Verschluesselung verhindert.
Ja?
Wie?
Über die hosts?
Monitoring?
__________________
Das Board unterstützen

Datenrettung -->HIER!

Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer.

Alt 16.06.2012, 11:36   #848
studentl
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Icon24

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hallo,

bei einem meiner Kunden hatte ebenfalls dieser virus (v70) zugeschlagen. Nach langer Recherche und vielem probieren ist mir aufgefallen, das die Dateien scheinbar gar nicht SOOOO verschlüsselt sind, wie man denkt.
Das Erste was auffiel, die MFT ist defekt. OK, Testdisk konnte da auch nix weiter ausrichten.

Im Anschluss die suche nach Recovery-tools. Gefunden hatte ich recoverMyFiles von GetData. Das ganze über die Dateien mit maximalen Sucheinstellungen gejagt, und siehe da, mindestens 90% der Files gefunden (habe es nicht einzeln überprüft, daher keine 100%) und diese auf ein anderes Medium gesichert. Der anschließende Test ergab: Falls alle Dateiendungen (pptx waren ZIP, einige Textfiles sahen komisch aus) wurden richtig erkannt und konnten nach dem Sichern wieder ohne Probleme genutzt werden.

Eventuell hilft das ja jemanden. Man sollte das glaub erstmal mit der Trial des Programmes versuchen... oder ein anderes Rettungstool nehmen..

Grüße

Student

Alt 16.06.2012, 11:39   #849
seeadler
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Zitat:
Zitat von bombinho Beitrag anzeigen
Schuld sind alle und niemand. Das ist am bequemsten. Allerdings sind die AV-Hersteller relativ flott. Bei einigen Versionen dieses Trojaner erfolgt Erkennung schon nach ein bis zwei Tagen. Leider nicht schnell genug fuer den Anwender.
...
Aber die Anwender, die Emails mit Anhang einfach mal so öffnen, haben keine schuld ?
Ich mein, wenn man sich in der heutigen Zeit nicht mal ein wenig Zeit nimmt, die Sachen eher zu kontrollieren und nicht einfach alles und jedes anklickt, hätten die Leute viel weniger Probleme....

Alt 16.06.2012, 13:13   #850
Undertaker
/// Helfer-Team
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hallo studentl,
Ich habe hier Testordner mit verschlüsselten Dateien der unterschiedlichsten Formate.
Alle verschlüsselt in der Form erTGGbHzuGNHJ.

AVI, BMP, DOC, DWG, DXF, EXE, JPG, TXT, XLS und ZIP

Ich habe eben recoverMyFiles von GetData auf diese Ordner losgelassen.
Nicht eine einzige Datei wurde erkannt, geschweige denn wiederhergestellt.
Selbst nachdem ich den Dateien die entsprechende Extension verpasst habe, lief recoverMyFiles drüber weg.

Testweise habe ich dann einen Scan auf dem gesamten Laufwerk gemacht.
Dabei wurden jede Menge gelöschter Dateien gefunden, aber eben nur gelöschte.

Zur Kontrolle habe ich dann den gesamten Order der verschlüsselten Dateien, einschließlich Unterordner, auf einen Stick kopiert und wieder gelöscht.
Auf diesen Stick habe ich nochmals recoverMyFiles gehetzt.
Das Ergebnis:
Im root waren zwei verschlüsselte Dateien, recoverMyFiles hat beide wieder angezeigt, allerdings nach wie vor verschlüsselt.
Weiterhin wurden über 12000 verlorene Dateiengefunden und als TXT deklariert, keine größer als 1MB.
Aus dem Inhalt einiger dieser Textdateien kann man erkennen, dass sie Bestandteil einer AutoCAD DWG-Datei waren. Einige enthielten Textpassagen aber die meisten nur kryptische UDF8- und UDF16-Zeichen.
Meines Erachtens handelt es sich hier um die Inhalte der einzelnen Sektoren, ohne Zusammenhang.
recoverMyFiles tut ja in dem Modus auch nix anderes als andere RAW-Recovery Tools.

Wenn Du 90% der Dateien wiederbeleben konntest, mache mal einen Step by Step Beitrag, am besten mit Screenshots.
Bist Du Dir überhaupt sicher, dass es sich bei den wiederhergestellten Dateien um die Verschlüsselten handelt?
Oder kann es sein, dass das vorher gelöschte Vorversionen waren?

Irgendwie fehlt mir der Glaube, dass RAW.Recoverer die modifizierten 12k am Anfang einer jeden Datei so einfach wegstecken.
Es sei denn, die Daten haben eine Blockstruktur und man findet Einspungpunkte in den Blöcken, wie beispielsweise bei MP3s und JPGs.
Aber das ist ja bekannt und dafür gibt es schon Tools.

Wirklich wichtig wäre eine effektive Methode Office-Dateien wiederherzustellen.

Volker
__________________
Das Board unterstützen

Datenrettung -->HIER!

Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer.

Alt 16.06.2012, 15:41   #851
sonshice
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Zitat:
Zitat von seeadler Beitrag anzeigen
...
Aber die Anwender, die Emails mit Anhang einfach mal so öffnen, haben keine schuld ?
Ich mein, wenn man sich in der heutigen Zeit nicht mal ein wenig Zeit nimmt, die Sachen eher zu kontrollieren und nicht einfach alles und jedes anklickt, hätten die Leute viel weniger Probleme....
Das Problem bei der Sache ist nur, dass, wenn die E-Mail wie z.B. in meinem Fall angeblich von einer Firma kommt, bei der ich vor Jahren mal angemeldet war, ich mit meinem Namen angesprochen werde und dann ein horrender Betrag gefordert wird, ich erstmal nicht an eine Schadsoftware denke, sondern wissen will, was diese Firma (bei der man, wie gesagt, schon lange kein Kunde mehr ist) von einem will. Ich habe in den letzten 10 Jahren hunderte von Mails mit Schadsoftware bekommen, aber diese niemals geöffnet, weil ich schon im Vorfeld wusste, um was es sich handelte. Dort wurde ich allerdings auch nie mit meinem realen Namen angesprochen. Das war jetzt anders, und ich bin drauf reingefallen, weil die Autoren des Schädlings entweder die Datenbank (in der mein Name eigentlich nicht mehr vorhanden sein dürfte) gehackt haben, oder diese Firma (noch schlimmer!) meine Daten, nachdem ich dort abgemeldet war, weiterverkauft/gegeben hat und diese so auf irgendeinem Weg in die Hände dieser Verbrecher gelangen konnten.
Lange Rede, kurzer Sinn: Ich wollte damit nur verdeutlichen, dass selbst der "Übervorsichtigste" einmal in so eine Falle tappen kann, auch wenn man sich noch so viel Zeit lässt um zu kontrollieren, wie von dir gefordert.
Abschliessend möchte ich noch anmerken, dass ich mir allerdings auch bewusst bin, dass es Leute gibt, die wirklich alles anklicken, was sie sehen, ohne über mögliche Konsequenzen nachzudenken. Diesen Leuten ist allerdings wirklich nicht mehr zu helfen.

Alt 16.06.2012, 17:39   #852
Lars1111
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Frage

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hallo an alle! Ich habe eine Frage:

Mein Netbook war vor ein paar Tagen auch mit dem neuen Verschlüsselungstrojaner infiziert, aufgrund eines E-Mail-Anhang's. Doch habe ich ein neues Windows installiert (von Win 7 Starter zu Win 7 Home Premium), da ich für das Poblem keine Nerven mehr aufbingen konnte und bald verzweifelt bin.
Vor dem Neuaufsetzen konnte ich unmittelbar nach dem Hochfahren des Netbooks, noch bevor das Trojanerbild erschien, ein USB Stick anschließen, auf dem ich 10-12 veschlüsselte Bilder kopieren konnte...
Kann ich diese Bilder (.jpg) im Nachhinein totzdem "irgendwie" encodieren?
Diese Bilder sind mir nämlich extrem wichtig...

PS: Ein Bilddatei sieht ungefähr so aus:

dGnHgHvjbhvjbhbJGHbmkHBKk (ohne Datei-Endung) (unter Typ steht "Datei")

Dankeschön!

Alt 16.06.2012, 18:34   #853
deraddi
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Zitat:
Zitat von Lars1111 Beitrag anzeigen
Hallo an alle! Ich habe eine Frage:

Mein Netbook war vor ein paar Tagen auch mit dem neuen Verschlüsselungstrojaner infiziert, aufgrund eines E-Mail-Anhang's. Doch habe ich ein neues Windows installiert (von Win 7 Starter zu Win 7 Home Premium), da ich für das Poblem keine Nerven mehr aufbingen konnte und bald verzweifelt bin.
Vor dem Neuaufsetzen konnte ich unmittelbar nach dem Hochfahren des Netbooks, noch bevor das Trojanerbild erschien, ein USB Stick anschließen, auf dem ich 10-12 veschlüsselte Bilder kopieren konnte...
Kann ich diese Bilder (.jpg) im Nachhinein totzdem "irgendwie" encodieren?
Diese Bilder sind mir nämlich extrem wichtig...

PS: Ein Bilddatei sieht ungefähr so aus:

dGnHgHvjbhvjbhbJGHbmkHBKk (ohne Datei-Endung) (unter Typ steht "Datei")

Dankeschön!
nein, das wird nicht mehr klappen. Der Virus setzt eine verschlüsselte Katalogdatei ins System die á la EABD420EEDFA2.$02 heißt. In dieser sind die Schlüssel zu jeder einzelnen Datei gelistet, die ganze Datei ist verschlüsselt.
Wenn es eine Chance gibt zur Rettung , dann nur mit dieser Datei.

Wenn die Bilder groß genug waren hast Du vielleicht eine Chance das der User Forrest74 was mit seiner Programmlizenz zur Rettung von JPG machen kann.

Alt 16.06.2012, 19:17   #854
Undertaker
/// Helfer-Team
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hallo Lars,
hast Du die Möglichkeit die Bilder in ein Archiv zu packen und irgendwo hoch zu laden?
Dann schaun wir mal.

Volker
__________________
Das Board unterstützen

Datenrettung -->HIER!

Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer.

Alt 16.06.2012, 23:04   #855
bombinho
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Zitat:
Zitat von Undertaker Beitrag anzeigen
Ja?
Wie?
Über die hosts?
Monitoring?
Monitoring und Traffic-Replacement. Im Log kannst Du sehen, wo der eingehende Verkehr vom CC Server waere, ist nur der HTML-Hinweis auf blockierten Traffic.

Zitat:
Zitat von sonshice Beitrag anzeigen
Das Problem bei der Sache ist nur, dass, wenn die E-Mail wie z.B. in meinem Fall angeblich von einer Firma kommt, bei der ich vor Jahren mal angemeldet war, ich mit meinem Namen angesprochen werde und dann ein horrender Betrag gefordert wird, ich erstmal nicht an eine Schadsoftware denke, sondern wissen will, was diese Firma (bei der man, wie gesagt, schon lange kein Kunde mehr ist) von einem will. Ich habe in den letzten 10 Jahren hunderte von Mails mit Schadsoftware bekommen, aber diese niemals geöffnet, weil ich schon im Vorfeld wusste, um was es sich handelte. [Snip]
Die haben tatsaechlich Zugriff auf mindestens eine aeltere Kundendatenbank allerdings auch ein paar andere aeltere? Spamdatenbanken. Mittlerweilen bekomme ich von denen auch Post. Unter einem Namen, den schon andere Spammer vorher verwendet haben. In dem Fall generiert aus der Emailadresse.

Leider greifen in deinem Fall, bzw. auch anderer gleich zwei Mechanismen: "Er hat es ja selber gemacht, selbst schuld!" und deine erhoehte Sensibilitaet als Betroffener. Kannst Du nur das beste daraus machen und versuchen andere davor zu bewahren. Gefeit ist niemand. Der Coder braucht nur Zugriff auf eine 0day-Luecke zu bekommen und dann ist Lotto wer betroffen ist und wer nicht.
Das Ding ist ziemlich "professionell" gemacht und die arbeiten dran es besser zu machen. Allerdings ist der BWLer-Part im Team schlecht besetzt. Dort braucht es mehr Druck um die "Geschaeftsidee" am Laufen zu halten. Solange wie die Entschluesselung nicht funktioniert, werden Leute eher nicht gewillt sein, das Loesegeld zu zahlen. Und ich habe noch von keinem gehoert, wo die Entschluesselung erfolgt ist.

Antwort

Themen zu Neue Verschlüsselungs-Trojaner Variante im Umlauf
256 bit, 256 bit aes schlüssel, abmahnn, computerverschlüsselungstrojaner, mahnung.zip, rechnung.pif, sie haben sich mit einen windows-verschlüsselungs trojaner infiziert, spam-mails, tr/skelf.a, trojan.matsnu.1, trojan.winlock, trojan:win32/matsnu.gen!a, verschlüsselungs-trojaner, virus verschlüsselt, wickel, willkomen bei windows update, win32/trustezeb.b, windows notfall sicherheits-update center




Ähnliche Themen: Neue Verschlüsselungs-Trojaner Variante im Umlauf


  1. XcodeGhost: Neue Version von manipuliertem Apple-Entwicklungstool im Umlauf
    Nachrichten - 04.11.2015 (0)
  2. Neue DHL-Mail Variante?
    Diskussionsforum - 29.05.2015 (2)
  3. Neue Familie von Erpressungs-Trojanern Umlauf
    Nachrichten - 15.08.2013 (0)
  4. Bundestrojaner neue Variante?
    Plagegeister aller Art und deren Bekämpfung - 26.03.2013 (28)
  5. BKA Trojaner neue Variante "Der Computer ist für die Verletzung der Gesetze der Bundesrepublik..."
    Plagegeister aller Art und deren Bekämpfung - 05.08.2012 (2)
  6. Windows-Verschlüsselungs-Trojaner (Neue Art)
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (1)
  7. Verschlüsselungs Trojaner BKA GEMA Variante
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (1)
  8. Neuer Verschlüsslungs Variante in umlauf
    Diskussionsforum - 13.07.2012 (7)
  9. Verschlüsselungs-Trojaner, Neue Version
    Plagegeister aller Art und deren Bekämpfung - 13.06.2012 (1)
  10. Rechner befallen von ...... Neue Verschlüsselungs-Trojaner Variante im Umlauf
    Plagegeister aller Art und deren Bekämpfung - 12.06.2012 (1)
  11. Verschlüsselungs-Trojaner Variante
    Plagegeister aller Art und deren Bekämpfung - 03.06.2012 (1)
  12. Neue Variante von Ukash
    Log-Analyse und Auswertung - 23.10.2011 (34)
  13. Bundespolizei: Neue Variante vom 'Bundes-Trojaner'
    Plagegeister aller Art und deren Bekämpfung - 09.09.2011 (5)
  14. Neue Mails im Umlauf
    Plagegeister aller Art und deren Bekämpfung - 21.03.2007 (1)
  15. neue Variante von W32.Netsky ?
    Plagegeister aller Art und deren Bekämpfung - 15.04.2005 (10)
  16. Neue Blaster Variante?
    Plagegeister aller Art und deren Bekämpfung - 02.09.2003 (4)

Zum Thema Neue Verschlüsselungs-Trojaner Variante im Umlauf - Das ist ja ein Ding. Und was soll der Herr Undertaker jetzt machen? - Neue Verschlüsselungs-Trojaner Variante im Umlauf...
Archiv
Du betrachtest: Neue Verschlüsselungs-Trojaner Variante im Umlauf auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.