|
Diskussionsforum: Neue Verschlüsselungs-Trojaner Variante im UmlaufWindows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
15.06.2012, 21:58 | #841 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Das ist ja ein Ding. Und was soll der Herr Undertaker jetzt machen? |
15.06.2012, 22:45 | #842 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Hi,
__________________beim rechner meiner freundin hat die neueste variante zugeschlagen. allerdings nur auf files mit ihrer ownership. dafür aber auch auf ihrem backup to disk folder. ich habe alle üblichen tools schon durch, ich bekomme nicht mal die jpg's entschlüsselt, obwohl ich einige orginale noch habe, shadow copies sind keine vorhanden. ist jemand an ein paar jpg interressiert, sowohl original und encrypted? |
15.06.2012, 23:01 | #843 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Neue Verschlüsselungs-Trojaner Variante im Umlauf Wieso der Herr Undertaker? Nimmt da mal jmd die Virenscannerhersteller in Pflicht? Können die für den ganzen Schaden nicht mal aufkommen wenn manche schon von ihnen wie (sinngemäß) "unknackberer Schutz", "triple-Scan-Technology" marketingmäßige Sprüche reißen, bei dem jedem Admin eigenlich schlecht wird weil's schlicht dummfug ist?
__________________Oder hat der arme User letzenendes doch allein Schuld weil er niemals Backups für nötig hielt?
__________________ |
15.06.2012, 23:27 | #844 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf @ cosinus Das sollte eine Antwort an @reval sein. Da ich meinen eigenen Beitrag komischerweise nicht mehr ändern kann, war es mir nicht möglich, das Zitat von dem User noch einzufügen. Tut mir leid, wenn es missverständlich rüberkam. Der Herr Undertaker macht hier einen guten Job. Leider muß er sich oft wiederholen, weil einige User offenbar nicht aufmerksam genug lesen. Dafür auf jeden Fall meinen Respekt, denn ich könnte das nicht. |
15.06.2012, 23:33 | #845 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo sonshice Ist auch echt so ein scheiss mit dem Verschlüsselungstrojaner Ich wollte nur meine persönliche rhetorische Note dazugeben zu einem Text von dir, den ich vorhin nicht richtig einordnen konnte. Ist schon völlig ok was du hier machst, weiter so! Und Herr Undertaker ja dem kann man garnicht genügend danken
__________________ Logfiles bitte immer in CODE-Tags posten |
16.06.2012, 02:49 | #846 | |
| Neue Verschlüsselungs-Trojaner Variante im UmlaufZitat:
|
16.06.2012, 07:48 | #847 | |
/// Helfer-Team | Neue Verschlüsselungs-Trojaner Variante im UmlaufZitat:
Wie? Über die hosts? Monitoring?
__________________ Das Board unterstützen Datenrettung -->HIER! Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer. |
16.06.2012, 11:36 | #848 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo, bei einem meiner Kunden hatte ebenfalls dieser virus (v70) zugeschlagen. Nach langer Recherche und vielem probieren ist mir aufgefallen, das die Dateien scheinbar gar nicht SOOOO verschlüsselt sind, wie man denkt. Das Erste was auffiel, die MFT ist defekt. OK, Testdisk konnte da auch nix weiter ausrichten. Im Anschluss die suche nach Recovery-tools. Gefunden hatte ich recoverMyFiles von GetData. Das ganze über die Dateien mit maximalen Sucheinstellungen gejagt, und siehe da, mindestens 90% der Files gefunden (habe es nicht einzeln überprüft, daher keine 100%) und diese auf ein anderes Medium gesichert. Der anschließende Test ergab: Falls alle Dateiendungen (pptx waren ZIP, einige Textfiles sahen komisch aus) wurden richtig erkannt und konnten nach dem Sichern wieder ohne Probleme genutzt werden. Eventuell hilft das ja jemanden. Man sollte das glaub erstmal mit der Trial des Programmes versuchen... oder ein anderes Rettungstool nehmen.. Grüße Student |
16.06.2012, 11:39 | #849 | |
| Neue Verschlüsselungs-Trojaner Variante im UmlaufZitat:
Aber die Anwender, die Emails mit Anhang einfach mal so öffnen, haben keine schuld ? Ich mein, wenn man sich in der heutigen Zeit nicht mal ein wenig Zeit nimmt, die Sachen eher zu kontrollieren und nicht einfach alles und jedes anklickt, hätten die Leute viel weniger Probleme.... |
16.06.2012, 13:13 | #850 |
/// Helfer-Team | Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo studentl, Ich habe hier Testordner mit verschlüsselten Dateien der unterschiedlichsten Formate. Alle verschlüsselt in der Form erTGGbHzuGNHJ. AVI, BMP, DOC, DWG, DXF, EXE, JPG, TXT, XLS und ZIP Ich habe eben recoverMyFiles von GetData auf diese Ordner losgelassen. Nicht eine einzige Datei wurde erkannt, geschweige denn wiederhergestellt. Selbst nachdem ich den Dateien die entsprechende Extension verpasst habe, lief recoverMyFiles drüber weg. Testweise habe ich dann einen Scan auf dem gesamten Laufwerk gemacht. Dabei wurden jede Menge gelöschter Dateien gefunden, aber eben nur gelöschte. Zur Kontrolle habe ich dann den gesamten Order der verschlüsselten Dateien, einschließlich Unterordner, auf einen Stick kopiert und wieder gelöscht. Auf diesen Stick habe ich nochmals recoverMyFiles gehetzt. Das Ergebnis: Im root waren zwei verschlüsselte Dateien, recoverMyFiles hat beide wieder angezeigt, allerdings nach wie vor verschlüsselt. Weiterhin wurden über 12000 verlorene Dateiengefunden und als TXT deklariert, keine größer als 1MB. Aus dem Inhalt einiger dieser Textdateien kann man erkennen, dass sie Bestandteil einer AutoCAD DWG-Datei waren. Einige enthielten Textpassagen aber die meisten nur kryptische UDF8- und UDF16-Zeichen. Meines Erachtens handelt es sich hier um die Inhalte der einzelnen Sektoren, ohne Zusammenhang. recoverMyFiles tut ja in dem Modus auch nix anderes als andere RAW-Recovery Tools. Wenn Du 90% der Dateien wiederbeleben konntest, mache mal einen Step by Step Beitrag, am besten mit Screenshots. Bist Du Dir überhaupt sicher, dass es sich bei den wiederhergestellten Dateien um die Verschlüsselten handelt? Oder kann es sein, dass das vorher gelöschte Vorversionen waren? Irgendwie fehlt mir der Glaube, dass RAW.Recoverer die modifizierten 12k am Anfang einer jeden Datei so einfach wegstecken. Es sei denn, die Daten haben eine Blockstruktur und man findet Einspungpunkte in den Blöcken, wie beispielsweise bei MP3s und JPGs. Aber das ist ja bekannt und dafür gibt es schon Tools. Wirklich wichtig wäre eine effektive Methode Office-Dateien wiederherzustellen. Volker
__________________ Das Board unterstützen Datenrettung -->HIER! Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer. |
16.06.2012, 15:41 | #851 | |
| Neue Verschlüsselungs-Trojaner Variante im UmlaufZitat:
Lange Rede, kurzer Sinn: Ich wollte damit nur verdeutlichen, dass selbst der "Übervorsichtigste" einmal in so eine Falle tappen kann, auch wenn man sich noch so viel Zeit lässt um zu kontrollieren, wie von dir gefordert. Abschliessend möchte ich noch anmerken, dass ich mir allerdings auch bewusst bin, dass es Leute gibt, die wirklich alles anklicken, was sie sehen, ohne über mögliche Konsequenzen nachzudenken. Diesen Leuten ist allerdings wirklich nicht mehr zu helfen. |
16.06.2012, 17:39 | #852 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo an alle! Ich habe eine Frage: Mein Netbook war vor ein paar Tagen auch mit dem neuen Verschlüsselungstrojaner infiziert, aufgrund eines E-Mail-Anhang's. Doch habe ich ein neues Windows installiert (von Win 7 Starter zu Win 7 Home Premium), da ich für das Poblem keine Nerven mehr aufbingen konnte und bald verzweifelt bin. Vor dem Neuaufsetzen konnte ich unmittelbar nach dem Hochfahren des Netbooks, noch bevor das Trojanerbild erschien, ein USB Stick anschließen, auf dem ich 10-12 veschlüsselte Bilder kopieren konnte... Kann ich diese Bilder (.jpg) im Nachhinein totzdem "irgendwie" encodieren? Diese Bilder sind mir nämlich extrem wichtig... PS: Ein Bilddatei sieht ungefähr so aus: dGnHgHvjbhvjbhbJGHbmkHBKk (ohne Datei-Endung) (unter Typ steht "Datei") Dankeschön! |
16.06.2012, 18:34 | #853 | |
| Neue Verschlüsselungs-Trojaner Variante im UmlaufZitat:
Wenn es eine Chance gibt zur Rettung , dann nur mit dieser Datei. Wenn die Bilder groß genug waren hast Du vielleicht eine Chance das der User Forrest74 was mit seiner Programmlizenz zur Rettung von JPG machen kann. |
16.06.2012, 19:17 | #854 |
/// Helfer-Team | Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo Lars, hast Du die Möglichkeit die Bilder in ein Archiv zu packen und irgendwo hoch zu laden? Dann schaun wir mal. Volker
__________________ Das Board unterstützen Datenrettung -->HIER! Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer. |
16.06.2012, 23:04 | #855 | |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Monitoring und Traffic-Replacement. Im Log kannst Du sehen, wo der eingehende Verkehr vom CC Server waere, ist nur der HTML-Hinweis auf blockierten Traffic. Zitat:
Leider greifen in deinem Fall, bzw. auch anderer gleich zwei Mechanismen: "Er hat es ja selber gemacht, selbst schuld!" und deine erhoehte Sensibilitaet als Betroffener. Kannst Du nur das beste daraus machen und versuchen andere davor zu bewahren. Gefeit ist niemand. Der Coder braucht nur Zugriff auf eine 0day-Luecke zu bekommen und dann ist Lotto wer betroffen ist und wer nicht. Das Ding ist ziemlich "professionell" gemacht und die arbeiten dran es besser zu machen. Allerdings ist der BWLer-Part im Team schlecht besetzt. Dort braucht es mehr Druck um die "Geschaeftsidee" am Laufen zu halten. Solange wie die Entschluesselung nicht funktioniert, werden Leute eher nicht gewillt sein, das Loesegeld zu zahlen. Und ich habe noch von keinem gehoert, wo die Entschluesselung erfolgt ist. |