@Undertaker: Hallo! Könnte ich dir die Dateien (Bilder) per E-Mail schicken? Wüsste sonst nicht wie ich es anstellen soll. Sind nicht groß die Bilder, vielleicht 1-2 MB zusammen.

@deraddi:

heißt das, wenn ich die Datei .$02 gesichert habe, das ich den rechner neu aufsetzen kann und trotzdem irgendwann mal die chance besteht die betroffenen Dateien zu retten?

Danke Rainer


SORRY!
Erledigt da du es ja schon geschrieben hast!!! ;-)

Da war mein Kopf zu langsam am frühen morgen! :-(

Hallo,

ist vielleicht für jemanden von der "Analyse" interessant...

Ich habe gestern wieder bei einer "Kundin" die sich per Mail (PDF im Anhang) die Verschlüsselung eingefangen hatte.

Dabei bemerkte ich zumindest für mich zum ersten bei zwei Dinge die ich so noch nicht gesehen hatte:
1. Ein Verzeichnis mit *.exe-Dateien unter C:\Windows\Installer\{F0559C5E-7912-4391-B1A0-6B975F0E5064} mit mitunter einer Schaddatei namens "SHCT_TRAY_PROGRAMG_A10D8603999C4E9488776EF2533C58C9.exe"

2. Ein Verzeichnis unter C:\Users\"Benutzername"\# welches eigentlich versteckt markiert war.
Dies beinhaltet 4 Dateien...
MBX@6CC@A02740.###
MBX@6CC@A02770.###
MBX@40C@1FA2740.###
MBX@40C@1FA2770.###

Leider kann ich mit dem Inhalt nicht wirklich was anfangen. "Mal abgesehen von "This program cannot be run in DOS mode." - verstehe ich da leider nicht viel von. :-(
Vielleicht bilde ich mir was ein, aber in Datei 2 und 4 würde ich jeweils vermuten das es sich um eine "Schlüssel"zeile handelt. Aber wie gesagt, ich habe da keine wirkliche Ahnung von.

Gesichert wurden von mir der REG-Eintrag, dieser Ordner, der Ordner ausm Installer-Verz., die ACHTUNG-LESEN.txt vom Desktop, Ein Ordner mit EXE-Datei aus %APPDATA%.

Falls daran Interesse zur Analyse besteht...melden.^^


PS.: Ich hoffe ja eigentlich nicht der Entdecker einer ganz neuen Version geworden zu sein,...

Grüße,
Wavetable

Zitat:

Zitat von Wavetable

Gesichert wurden von mir der REG-Eintrag, dieser Ordner, der Ordner ausm Installer-Verz., die ACHTUNG-LESEN.txt vom Desktop, Ein Ordner mit EXE-Datei aus %APPDATA%.

moin moin,
den Dropper selbst hast Du nicht mit gesichert?

Gruß Volker

@ Undertaker (Volker)

Muss ich ganz ehrlich gestehen...was genau meinst Du/meinen Sie damit (also welche Datei)?


Grüße,
Wavetable

den Trojaner, also die Datei im Anhang der Mail.
Wenn Du so willst, den Installer des Virus.

@ Undertaker,

tut mir leid - den habe ich aktuell nicht.
Ich frage mal eben an ob diese Person die Mail evtl. noch im gelöscht Ordner hat.
Melde mich sobald ich Neuigkeiten dazu habe.


Grüße,
Wavetable

@ Undertaker

Hast ne PN...(hoffe ich zumindest, denn mein Postausgang zeigt keine an...*grübel*).


Grüße,
Wavetable

Servus allerseits.... mich würd schon mal interessieren, wie viele Personen oder Pc´s von dieser Geschichte betroffen sind.... Weis da jemand was darüber??

Schönen Sonntag noch..

@ Sakradi

Also ich habe zumindest mal irgendwo was gelesen das der Verschlüsselungstrojaner wohl ein "Versuchsballoon" in Deutschland sei.
Ob das stimmmt - keine Ahnung.

Rein vom Gefühl her könnte es aber stimmen, da ich mit diesem Verschlüsselungs-Trojaner (CTsdysRTVYXdC - Dateien) bislang nur "Deutsche Kunden" hatte.
Leute die aus Österreich oder der Schweiz oder Frankreich an mich rantreten, waren bislang immer mit dem "alten" BKA/GEMA/GVU/Bundespolizei-Nervtöter infiziert oder hatten im schlimmsten Fall "locked-DATEINAME.wxyz" Varianten.

Genaue Zahlen bzgl. der aktuellen Variante kann ich damit leider aber nicht liefern.


Grüße,
Wavetable

wie viele Versionen gibt es eigentlich mittlerweile? Ich habe gerade 2 (für mich neue) hochgeladen.
Laufen die Versionen jeweils mit unterschiedlichen Servern?

Gruß
Joh

Zitat:

Zitat von JohX

wie viele Versionen gibt es eigentlich mittlerweile? Ich habe gerade 2 (für mich neue) hochgeladen.
Laufen die Versionen jeweils mit unterschiedlichen Servern?

Gruß
Joh

http://www.trojaner-board.de/117117-...tml#post844804

Zitat:

Zitat von Wavetable

Rein vom Gefühl her könnte es aber stimmen, da ich mit diesem Verschlüsselungs-Trojaner (CTsdysRTVYXdC - Dateien) bislang nur "Deutsche Kunden" hatte.

Es gibt zumindest einen englischen Kunden.

Tech Support Guy

Volker

Hallo zusammen!

Ein Freund von mir hatte ebenfalls Probleme mit diesem Virus. Allerdings stellte sich sein Problem noch etwas anders dar, als es hier überwiegend geschildert wird. Bei dem Rechner handelt es sich um einen ca. 8 Jahre alten IBM ThinkPad (lenovo 60) Centrino Duo, mit Windows XP Professional SP3.

Nach dem Boot-Vorgang erscheint normal die Login-Maske und fragt nach dem Passwort. Nachdem dieses eingegeben wurde, erscheint für etwa 1 Sekunde das Hintergrundbild, gelegentlich auch noch die Desktop-Icons, dann wird der Bildschirm schwarz und es erscheint das hier im Thema vorgestellte Bild der gefälschten Warnmeldung und der Zahlungsaufforderung. Vom Desktop ist nichts zu sehen.

Die Tastenkombination strg-alt-entf beseitigt den Trojaner-Bildschirm und führt zum klassischen XP-Menü auf schwarzem Hintergrund, das unter anderem die Schaltfläche zum Herunterfahren beinhaltet. Die Schaltfläche zum Aufrufen des Task-Managers ist ausgegraut. Der Task-Manager kann nicht aufgerufen werden. Wird die Schaltfläche Herunterfahren aktiviert, dann gelangt man kurzzeitig auf den Desktop. Keines der Icons scheint verschlüsselt zu sein. Es erscheinen diverse Medlungen, dass Prozesse nicht reagieren und zwangsweise beendet werden. Während dieses Vorgangs ist es nicht möglich irgendein Programm noch auszuführen. Der Computer fährt schließlich herunter.

Der Computer verfügt über ein eigenes "Rescue and Recovery 3" System, nach eigener Angabe basierend auf ThinkVantage Technologie. Dieses kann während des Bootvorgangs mit dem blauen ThinkVantage-Button aufgerufen werden, eine Besonderheit des Computerkeyboards. Nachdem mir die hier geforderten Maßnahmen wie OLT.EXE oder gar die Installation bestimmter Antivirenprogramme aufgrund der Sperrung des Desktop durch den Trojaner nicht möglich war, habe ich dieses Programm während des boot-Vorgangs gestartet. Hier konnte ich Zugriff auf das Dateisystem nehmen. Die Dateien waren nicht umbenannt worden. Es war auch möglich, von den Dateien im Rahmen des Programms eine Sicherung anzulegen. Allerdings war es nicht möglich, die Dateien auf einem UB-Stick zu speichern oder gar auf eine CD zu brennen, obwohl die Hilfe dieses Programms diese Möglichkeiten explizit nannte. Die Dateien wurden wohl auf einer internen Partition gespeichert. Ich war mir zu diesem Zeitpunkt noch nicht sicher, ob die Dateien nun verschlüsselt sind oder nicht, war aber insofern vorsichtig optimistisch, weil das Programm sie kopieren konnte.

Ich besorgte mir schließlich von einem Bekannten, der in der EDV-Betreuung eines Unternehmens arbeitet, eine Windows XP-Boot-CD. Mit dieser ließ sich das System zunächst auch starten. Tatsächlich erschien der Trojanerbildschirm nach dem Einloggen zunächst nicht. Das System arbeitete aber sehr langsam. Der USB-Stick konnte gelesen werden, allerdings nach etwa einer Minute erschien der Trojanerbildschirm. Damit war ein Arbeiten auf dem Desktop nicht mehr möglich. Neustarts auch mit der Boot-CD brachten jetzt immer den Trojanerbildschirm von Anfang an.

Daher startete ich einen neuen Versuch mit einer im Internet verfügbaren Linux SystemrecoveryCD, die von CHIP online angeboten wird. Ein Boot mit dieser CD war jedoch nicht möglich. Die CD führte zu einem Black-Screen/Freeze während des "Loading modules"-Vorgangs. Ein weiterer Versuch mit einer Knoppix-LiveCD scheiterte ebenfalls. Schließlich stieß ich auf den Trinity Rescue Kit, der ebenfalls Linux basiert ist. Damit war es mir möglich über den Midnight Commander sämtliche Dateien auf einen USB-Stick zu kopieren und auf einen anderen Rechner (ohne wichtige Daten) zu übertragen. Gründliche Virenscans mit allen bekannten Programmen haben keine Funde angezeigt. Die Dateien sind nicht verschlüsselt oder sonstwie beschädigt und können normal genutzt werden.

Da somit alle Daten gerettet werden konnten, steht einer kompletten Neuinstallation des Systems nichts mehr im Wege. Insofern brauche ich diesbezüglich auch keine Hilfe mehr. Die Frage, die ich hier habe ist:

Was kann ich noch tun, bevor ich eine komplette Neuinstallation durchführe, um Euch bei der Erforschung/Bekämpfung dieses Virus zu helfen?

Dabei wäre zu beachten, dass es nicht ohne weiteres möglich ist, Programme auf dem Computer zu installieren, da der Trojaner hier jede Möglichkeit sperrt.

Mein Freund und seine Frau konnten mir keinerlei Hinweise darauf geben, wie der Virus auf den Computer gekommen ist. Nach ihrer Aussage wurden keine unbekannten Emailanhänge geöffnet. Man muss dazu sagen, dass beide sehr, sehr wenig Ahnung von Computer haben, weswegen sie sich auch an mich gewandt hatten. Wobei ich selber jetzt auch kein ausgesprochener Computerspezialist bin. Jedenfalls weiß ich nicht genau, wie bzw. wo ich die Schädlingsdatei finde und wie ich sie ggf. sicher, dh ohne andere Rechner zu gefähren, an Euch zwecks Analyse weiterleiten kann. Ich bin mir jetzt auch nicht sicher, ob der Virus eine ältere oder ganz neue bislang unbekannte Variante dieses Trojaners darstellt oder der Virus lediglich durch besondere Umstände an seiner eigentlich vorgesehenen Ausführung gehindert wurde.

Zitat:

Zitat von EinRing

Mein Freund und seine Frau konnten mir keinerlei Hinweise darauf geben, wie der Virus auf den Computer gekommen ist. Nach ihrer Aussage wurden keine unbekannten Emailanhänge geöffnet.

Sie werden Dich nicht angelogen haben, denn das müssen sie nicht unbedingt gemerkt haben. Es ist nicht unbedingt so, daß da nach dem Klick auf den Dateianhang noch irgendetwas von dem passieren muß, was man beim Umgang mit zip-Dateien so kennt.

Zitat:

Ich bin mir jetzt auch nicht sicher, ob der Virus eine ältere oder ganz neue bislang unbekannte Variante dieses Trojaners darstellt oder der Virus lediglich durch besondere Umstände an seiner eigentlich vorgesehenen Ausführung gehindert wurde.

Nach den Ausführungen im Delphi-Forum zu urteilen, gibt es wöchentlich eine aktualisierte Variante.

Meine Infektion stammt von heute morgen 01:00, ist infolgedessen wohl die aktuellste Version.

Ich habe die betroffene Festplatte danach ausgebaut (2,5" S-ATA aus einem Fujitsu Livebook 320 GB, Windows 7 -64) und betreibe den Rechner von einer externen Festplatte, auf die ich ein Linux installiert habe.

Wenn jemand aus der Hamburger Gegend Interesse hat, sich die Platte anzusehen, würde ich sie gerne (ggf. auch noch heute, wenn man den Treffpunkt per PN vereinbaren kann) persönlich leihweise übergeben. Die Daten sind zum überwiegenden Teil Bilder im jpeg- und im NEF-Format. Auf die während der Infektion angeschlossene CF-Karte konnte ich danach von der Live-DVD der Linux-Welt noch zugreifen.

Es gibt zumindest einen englischen Kunden.

Tech Support Guy

Volker[/QUOTE]

hey volker,
meine freundin gat sich das teil bei yahoo.de eingefangen und sie war gott sei dank nicht mit der domain verbunden.mein mail scanner hätte das teil nicht zugelassen.

außerdem Republik of Ireland, nicht england, grrrr.

Nach den Ausführungen im Delphi-Forum zu urteilen, gibt es wöchentlich eine aktualisierte Variante.

Meine Infektion stammt von heute morgen 01:00, ist infolgedessen wohl die aktuellste Version.

Ich habe die betroffene Festplatte danach ausgebaut (2,5" S-ATA aus einem Fujitsu Livebook 320 GB, Windows 7 -64) und betreibe den Rechner von einer externen Festplatte, auf die ich ein Linux installiert habe.

Die Daten dort sind zum überwiegenden Teil Bilder im jpeg- und im NEF-Format. Auf die während der Infektion über USB (vermutlich) angeschlossene CF-Karte und die darauf befindlichen Bilder konnte ich danach von der Live-DVD der Linux-Welt noch zugreifen. Ein Blick auf die inzwischen kurz noch einmal eingehängte Platte ergab jedoch, daß dort fast alle Dateien (mit Ausnahme derer in den Programm- und Programmdatenverzeichnissen sowie der im Windows-Verzeichnis) komplett umbenannt wurden und man schon deshalb kaum weiterkommen wird, weil nicht mehr so ohne weiteres klar ist, welche Datei welchen Typs war. Es ist daher auch (abgesehen von der unverseht gebliebenen Benennung der Datenverzeichnisse) nicht mehr ohne weiteres möglich, aus den Verzeichnissen einzelne Dateien zu identifizieren, bei denen sich der Aufwand einer Restaurierung lohnt.

Hier ergibt sich abseits der Untersuchung des jeweils aktuellen Virus und seiner Funktionsweise ein weiterer Aspekt:
Haben wir es tatsächlich mit besonders ausgefeilter Beschaffungskriminalität zu tun oder soll die Erpressung nicht vielmehr über andere Hintergründe hinwegtäuschen?
Soweit ich mich heute in die Materie hineingelesen habe, ist bei diesem Stand des Schädlings eine Lösegeldzahlung rausgeworfenes Geld, da damit vielleicht ein Zugriff auf die Maschine möglich wird, den man aber auf einfache Art auch anderweitig erlangen kann. Mit einem Zugriff auf die Daten hat das noch lange nichts zu tun. Der Rechner kann offenbar selbst nach einer vermeintlichen Freischaltung nach einer Zahlung nur als Schädlingsschleuder dienen. Sind die Daten unrettbar verloren und kann man den PC nur komplett neu aufsetzen (ggf. mit einer neuen, größeren Platte), besteht kein Grund, über eine Zahlung an die Verbrecher auch nur ernsthaft nachzudenken. Das müßte jedoch über die Medien (Heise bspw.) entsprechend eindringlich publiziert werden.

So wie die Masche derzeit aufgezogen ist, bringen auch Appelle zur Vorsicht nichts. Man sieht sich mit einer anderen Straftat konfrontiert (Idenditätsklau, Erwerb von Waren auf fremde Rechnung in beträchtlichem Wert) und greift nach den angeblich im Anhang enthaltenen Detailinformationen der Bestellung und der avisierten Abbuchung, um sich dagegen verteidigen zu können.
Die e-mail enthält zwar eine Zip-Datei, aber es gibt weder in deren Inhalt Einblick, so daß man dort einer executable angesichtig würde, noch wird die für den Nutzer sichtbar ausgepackt. Windows erklärte nur, dafür kein Programm zur Verfügung zu haben. An der Stelle war dann aber ohne sofortiges zweckentsprechendes Handeln schon alles zu spät.