Neue Verschlüsselungs-Trojaner Variante im Umlauf

OliverA

Auf meinen Log&Analyse Thread Antwortet leider niemand, daher möchte ich hier nochmal meine Erfahrungen äußern.

Bei mir in der Firma setzen wir Citrix Xenapp ein. Auf einem der 4 Xenapp Server (Windows 2008 kein R2) hat sich eben genau der Verschlüsselungstrojaner eingeschläußt wie hier besprochen.
Aufgefallen ist es uns natürlich durch den Screen der alles blockierte.
Server also neugestartet im abgesicherten Modus (war nicht blockiert) und die hier empfohlenen Scans durchgeführt, die aber alle nicht wirklich was finden konnten. Die Daten schienen nicht verschlüsselt gewesen zu sein, wobei auf den XenApp Servern auch nur die Programme ausgeführt werden. Die UserProfile und Daten liegen auf einem anderem Server.

Der Online Virenscanner von ESET konnte letzendlich den Win32/Trustezeb.B 3x auf dem System finden.

-0EC911D90613A2D42F73.exe im System32 Ordner
-C:\Users\Administrator.domäne\AppData\Local\Temp\16\ewclgycnhm.pre
-C:\Users\Administrator.domäne\AppData\Local\Temp\16\ocoeoclnrp.pre

Auf hxxp://www.paulsen-it.de/news-details/artikel/trskelfa.html konnte ich dann herausfinden das der Virus Registry und Sicherheitseinstellungen verändert.
In meinem Fall ist mir Aufgeallen das die Firewall so konfiguriert war, dass auch Programme die nicht in den Ausnahmen Definiert sind, nach außen kommunizieren dürfen.

Es würde mich besonders interessieren ob hier noch mehr Infos bekannt sind, welche Einstellungen und Registry einträge getöätigt wurden.

Wie der Virus auf das System kam, kann ich nicht sagen. Ich bin alle Mails durchgegangen und konnte nichts Auffälliges finden. Kann aber natürlich sein das ein Mitarbeiter seine Privaten Mails über eine Weboberfläche aufgerufen hat und dort den Virus eingeschläust hat.

Komisch fand ich nur, dass bei uns nichts vershclüsselt wurde und auch der Abgesicherte Modus kein problem war. (Unser GlücK!!!)