Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Neue Verschlüsselungs-Trojaner Variante im Umlauf

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 19.06.2012, 09:48   #901
Undertaker
/// Helfer-Team
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hallo JohX,
das klingt sehr Interessant und ist ein wichtiger Hinweis für OO Nutzer.

Fragen:
Klappt das nur mit Bildern oder auch mit anderen eingebetteten Objekten?
Was versteht man unter einer ähnlichen OO-Datei, Anzahl der Bilder, Größe oder was?
Geht das auch, wenn ich eine "ähnliche Datei" im Nachhinein erstelle, also nach dem Befall?
Wie erkenne ich aus der Verschlüsselungsform RTfghzUJDFGUItz welches Original ähnlich ist?
Was ist, wenn kein Bild eingefügt ist?

Gruß Volker
__________________
Das Board unterstützen

Datenrettung -->HIER!

Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer.

Alt 19.06.2012, 10:26   #902
JohX
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Zitat:
Zitat von Undertaker Beitrag anzeigen
Hallo JohX,
das klingt sehr Interessant und ist ein wichtiger Hinweis für OO Nutzer.

Fragen:
Klappt das nur mit Bildern oder auch mit anderen eingebetteten Objekten?
ich habe hier nur eine größere Anzahl Rechnungen; vor dem ok des Kunden will ich auch nicht zu viel Arbeit reinstecken...

Zitat:
Zitat von Undertaker Beitrag anzeigen
Was versteht man unter einer ähnlichen OO-Datei, Anzahl der Bilder, Größe oder was?
habe gerade mal mit einer leeren sxc (OO 1.x)-Datei versucht. Die Daten in den Feldern werden sauber angezeigt.
Logos fehlen (klar) aber Formatierungen, Formeln sehen gut aus.

Zitat:
Zitat von Undertaker Beitrag anzeigen
Geht das auch, wenn ich eine "ähnliche Datei" im Nachhinein erstelle, also nach dem Befall?
s.o. statt der Grafik wird nur ein Platzhalter angezeigt, aber ansonsten scheints zu passen.

Zitat:
Zitat von Undertaker Beitrag anzeigen
Wie erkenne ich aus der Verschlüsselungsform RTfghzUJDFGUItz welches Original ähnlich ist?
Ich hoffe ja immer noch, das wir aus der $02 die Dateinamen restaurieren können^^

Zitat:
Zitat von Undertaker Beitrag anzeigen
Was ist, wenn kein Bild eingefügt ist?
Ich befürchte, das in dem Fall die Content.xml überschrieben wird, müsste man mal testen, einfach die ersten 3k einer Datei mit Nullen überschreiben.

PS: bisher nur mit OpenOffice 1.x-Calc-Dateien (scx) getestet; andere hab' ich nicht hier^^


Gruß
Joh

Zitat:
Zitat von Undertaker Beitrag anzeigen

Was ist, wenn kein Bild eingefügt ist?

Gruß Volker
hmmm, wollte gerade mal testen <grrbmlgh>

die Rechnungsdatei ist ohne Bild gerade mal 10996 Bytes groß; da bleibt leider nix übrig, was nicht verschlüsselt ist.

Jochen
__________________


Alt 19.06.2012, 10:45   #903
Undertaker
/// Helfer-Team
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Zitat:
Zitat von JohX Beitrag anzeigen
Ich hoffe ja immer noch, das wir aus der $02 die Dateinamen restaurieren können^^
Klar, wer hofft das nicht.
Für die Klarnamen reicht doch aber die *.$03 und wenn ich marcu richtig vertehe, dann kann man die entschlüsseln.
Die Frage ist nur, ob sich der Aufwand lohnt.

Zitat:
Zitat von JohX Beitrag anzeigen
Ich befürchte, das in dem Fall die Content.xml überschrieben wird, müsste man mal testen, einfach die ersten 3k einer Datei mit Nullen überschreiben.
Du meinst sicher die ersten 3k hex.

Volker
__________________
__________________

Alt 19.06.2012, 10:53   #904
JohX
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Zitat:
Zitat von Undertaker Beitrag anzeigen
Klar, wer hofft das nicht.
Für die Klarnamen reicht doch aber die *.$03 und wenn ich marcu richtig vertehe, dann kann man die entschlüsseln.
Die Frage ist nur, ob sich der Aufwand lohnt.
hatte nicht nachgeguckt und latürnich $02 und $03 verwexelt.
hmmm, ich denke für meinen Kunden lohnt sich der Aufwand schon^^

Zitat:
Zitat von Undertaker Beitrag anzeigen
Du meinst sicher die ersten 3k hex.
jepp, sonst wären mir 10k (dez) nicht zu wenig.

Jochen

Alt 19.06.2012, 11:05   #905
Undertaker
/// Helfer-Team
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Zitat:
Zitat von JohX Beitrag anzeigen
hatte nicht nachgeguckt und latürnich $02 und $03 verwexelt.
hmmm, ich denke für meinen Kunden lohnt sich der Aufwand schon^^
Dann kontaktiere mal Marcu im Delphiboard und frage nach der Routine.
Du bist doch dort registriert.

Volker

__________________
Das Board unterstützen

Datenrettung -->HIER!

Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer.

Alt 19.06.2012, 20:56   #906
caesar94
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hallo Leute,

erst einmal ein großes Lob, super wie das hier alles erklärt wird! Danke!

Mein PC war auch vom Ransom Trojaner befallen habe den Trojaner entfernt und die Lock Dateien mitlerweile wieder entschlüßelt, hat alles super geklappt, leider habe ich den Dateinamen einer Datei vor dem Entschlüßeln geändert und somit wurde diese vom Decrypter nicht beachtet, sie ist aber immernoch verschlüßelt.
Ich habe aber bereits alle locked Dateien auf meinem PC gelöscht, heißt ich kann den Trick mit den Windows Bsp. Bildern nicht anwenden, da ich ja keine verschlüßelten Bsp Bilder mehr habe.
Könnte mir bitte jemand die verschlüßelten Bsp Bilder von Windows XP hochladen? Original gibts ja bereits zum Download.

Vielen vielen Dank!


//EDIT: Habe locked und dazugehörige originale hier im Board gefunden!

ICh habe aber ein weiteres Problem, da ich die zu entschlüßelnde Datei umbenannt habe findet der Decryptor sie nicht mehr, muss die Dateiendung bei .doc Dateien erfahren!
Vielen Dank!

Alt 19.06.2012, 21:32   #907
seeadler
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Ich tip mal ins blaue...
Die eigentliche endung einer doc-Datei ist .doc ....

Wenn du beim abspeichern aber ein anderes Format genommen hast..
Office starten, Datei speicher als auswählen und da schauen, welche endungen dir Office noch so vorschlägt..
die kannst du dann ja der Reihe nach mal probieren...
.cod / .txt / .htm usw...

Alt 19.06.2012, 23:37   #908
ingo_2810
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hallo Leute

jetzt mal nix was hier zur weiterfindung beim trojaner führt, aber ne idee oder frage an alle - vorallem an die laien - die zum möglichen verursacher führen könnte???????????
Bei mir war es so, dass ich seit ca. märz permanent irgendwelche anrufe aus den gegenden von hamburg, stuttgardt, münchen wegen irgendwelchen zahlungen bzw. umtausch in abos oder ähnliches bekam. die kamen wöchentlich 8-10 mal. ich hab die immer brüsk abgewiesen oder einen spass draus gemacht, z.b. wenn die die bank wissen wollten: irische bank of idiots usw.

seit dem trojaner am 30.05. keine anrufe mehr!!!

ist anderen vielleicht ähnliches passiert? kergebe??? weitönnte hier ein zusammenhang bestehen??? bevor ich das an die staatsanwaltschaft

Alt 20.06.2012, 02:30   #909
sonshice
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Zitat:
Zitat von ingo_2810 Beitrag anzeigen
kergebe???
weitönnte
Bitte was?

Alt 20.06.2012, 05:38   #910
caesar94
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Zitat:
Zitat von seeadler Beitrag anzeigen
Ich tip mal ins blaue...
Die eigentliche endung einer doc-Datei ist .doc ....

Wenn du beim abspeichern aber ein anderes Format genommen hast..
Office starten, Datei speicher als auswählen und da schauen, welche endungen dir Office noch so vorschlägt..
die kannst du dann ja der Reihe nach mal probieren...
.cod / .txt / .htm usw...
Ist mir schon klar
Ich meinte die Endung die der Trojaner anhängt!
locked-dateiname.doc.xyz und das xyz muss ich wissen!

Alt 20.06.2012, 08:43   #911
Undertaker
/// Helfer-Team
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Zitat:
Zitat von caesar94 Beitrag anzeigen
Ist mir schon klar
Ich meinte die Endung die der Trojaner anhängt!
locked-dateiname.doc.xyz und das xyz muss ich wissen!
Wozu?
Schon mal mit Zufallszeichen versucht?
Für den Schlüssel sind diese Zeichen nicht relevant.

Noch ne Frage, warum postest Du doppelt?

Volker
__________________
Das Board unterstützen

Datenrettung -->HIER!

Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer.

Alt 20.06.2012, 10:00   #912
FrankHH
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hallo aus Hamburg!

Mein Name ist Frank. Auch ich bekomme seit Tagen diese Art von Mails mit einem Zip-Anhang. Natürlich öffne ich diese auf keinen Fall, denn es ist ja offensichtlich, dass hier Betrüger am Werk sind. Allerdings sollte doch jedem klar sein, dass es kein Gewerbe gibt, welches Mahnungen, Rechnungen o.ä. in Form von Zip-Dateien verschickt

Die Texte sind grammatikalisch unkorrekt und amateurhaft dargestellt. Spätestens beim durchlesen einer solchen Mail, sollte jedem doch schon der gesunde Menschenverstand sagen, diese Art von Mails sofort zu löschen!

Ich werde werde weitere Recherchen anstreben und Anzeige gegen Unbekannt erstatten!

Hier das Beispiel einer Mail von heute. Wer die Rechtschreibfehler im folgendem Text findet, darf sie behalten



Guten Morgen Frank ......... ,

sicherlich ist es Ihnen entgangen, dass die Zahlfrist der nachfolgenden Mahnung abgelaufen ist. Auf zwei Schreiben haben Sie ebenfalls nicht reagiert.

Ihre Bestellung: Dell Intaste ES
Artikelnummer: 9799203612258
Mänge: 4
Summe: 553,05 Euro

Aufgrund zusätzlicher Kosten anlässlich des Ausgleichs von Gebührenforderungen erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 80.- Euro

Wir bitten Sie, den Gesamtbetrag in den nächsten 7 Tagen zu überweisen. Im Unglücksfall sehen wir uns leider gezwungen, ein Betreibungsverfahren in die Wege zu leiten und ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen.

Sollte sich dieses Mahnungsschreiben mit der Zahlung des ausstehenden Betrags zeitlich überschnitten haben, so betrachten Sie dieses Schreiben bitte als gegenstandslos.

Anlagen:
- Zahlschein
- Bestellung

Mit besten Grüßen

Brauter GmbH
Hermannstal 93
Stuttgart

Telefon: (0180) 096 8103687
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr) Gesellschaftssitz ist Bad Bentheim
Umsatzsteuer-ID: DE350499612
Geschäftsfuehrer: Vanessa Albrecht

Alt 20.06.2012, 10:03   #913
RAPille
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Uns hats auch erwischt, zum Glück existieren von den meisten Sachen ordentliche Sicherungen, der Schädling wurde entfernt. Nur war unsere Buchhalterin zwischen der letzten Sicherung und dem Befall da und hat den Jahresabschluss gemacht....das Sicherungsarchiv von Lexware Buchhalter ist beschädigt. Decrypthelper meint immer, der Schlüssel konnte nicht bestimmt werden.RecoveryTool for Zip hat auch nix geholfen.

Kann man irgendwie das beschädigte zip-File restaurieren? Oder kann mir jemand eine professionellen Datenrettungsdienst in Dresden empfehlen? Bin für jede Hilfe dankbar.

Alt 20.06.2012, 10:12   #914
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hier wurde schonmal der Tipp gegeben, ob man bei beschädigten Lexware-Dateien sich nicht direkt an Lexware wenden kann. Hast du das schon gemacht?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 20.06.2012, 10:15   #915
RAPille
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



ja, hab ich.
Die haben mit Teamviewer drüber geschaut und meinten dann, bei Beschädigungen des Zip-Verzeichnisses seien sie nicht zuständig, hier sollte ich erst einen professionellen datenrettungsdienst ranlassen und erst dann würden die versuchen, die Sicherung wieder einzuspielen.

Antwort

Themen zu Neue Verschlüsselungs-Trojaner Variante im Umlauf
256 bit, 256 bit aes schlüssel, abmahnn, computerverschlüsselungstrojaner, mahnung.zip, rechnung.pif, sie haben sich mit einen windows-verschlüsselungs trojaner infiziert, spam-mails, tr/skelf.a, trojan.matsnu.1, trojan.winlock, trojan:win32/matsnu.gen!a, verschlüsselungs-trojaner, virus verschlüsselt, wickel, willkomen bei windows update, win32/trustezeb.b, windows notfall sicherheits-update center




Ähnliche Themen: Neue Verschlüsselungs-Trojaner Variante im Umlauf


  1. XcodeGhost: Neue Version von manipuliertem Apple-Entwicklungstool im Umlauf
    Nachrichten - 04.11.2015 (0)
  2. Neue DHL-Mail Variante?
    Diskussionsforum - 29.05.2015 (2)
  3. Neue Familie von Erpressungs-Trojanern Umlauf
    Nachrichten - 15.08.2013 (0)
  4. Bundestrojaner neue Variante?
    Plagegeister aller Art und deren Bekämpfung - 26.03.2013 (28)
  5. BKA Trojaner neue Variante "Der Computer ist für die Verletzung der Gesetze der Bundesrepublik..."
    Plagegeister aller Art und deren Bekämpfung - 05.08.2012 (2)
  6. Windows-Verschlüsselungs-Trojaner (Neue Art)
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (1)
  7. Verschlüsselungs Trojaner BKA GEMA Variante
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (1)
  8. Neuer Verschlüsslungs Variante in umlauf
    Diskussionsforum - 13.07.2012 (7)
  9. Verschlüsselungs-Trojaner, Neue Version
    Plagegeister aller Art und deren Bekämpfung - 13.06.2012 (1)
  10. Rechner befallen von ...... Neue Verschlüsselungs-Trojaner Variante im Umlauf
    Plagegeister aller Art und deren Bekämpfung - 12.06.2012 (1)
  11. Verschlüsselungs-Trojaner Variante
    Plagegeister aller Art und deren Bekämpfung - 03.06.2012 (1)
  12. Neue Variante von Ukash
    Log-Analyse und Auswertung - 23.10.2011 (34)
  13. Bundespolizei: Neue Variante vom 'Bundes-Trojaner'
    Plagegeister aller Art und deren Bekämpfung - 09.09.2011 (5)
  14. Neue Mails im Umlauf
    Plagegeister aller Art und deren Bekämpfung - 21.03.2007 (1)
  15. neue Variante von W32.Netsky ?
    Plagegeister aller Art und deren Bekämpfung - 15.04.2005 (10)
  16. Neue Blaster Variante?
    Plagegeister aller Art und deren Bekämpfung - 02.09.2003 (4)

Zum Thema Neue Verschlüsselungs-Trojaner Variante im Umlauf - Hallo JohX, das klingt sehr Interessant und ist ein wichtiger Hinweis für OO Nutzer. Fragen: Klappt das nur mit Bildern oder auch mit anderen eingebetteten Objekten? Was versteht man unter - Neue Verschlüsselungs-Trojaner Variante im Umlauf...
Archiv
Du betrachtest: Neue Verschlüsselungs-Trojaner Variante im Umlauf auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.