Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Neue Verschlüsselungs-Trojaner Variante im Umlauf

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 09.06.2012, 19:52   #1
Undertaker
/// Helfer-Team
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



@Blackvision,
Du hast doch schon ein Thema unter "Plagegeister" gestartet.
Warte doch erst mal ab, bis sich ein Helfer darauf meldet.

Auch wenn Du das Logfile hier noch 10 mal postest, was übrigens nicht den Regeln entspricht, wird das nicht besser.

Mache erstmal mit Deinem Helfer das System sauber.
So wie ich das im Log sehe, ist das noch komlett zu.

Volker
__________________
Das Board unterstützen

Datenrettung -->HIER!

Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer.

Alt 09.06.2012, 22:51   #2
Forrest74
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hallo,

habe nun von einige Membern hier schon Bilder geschickt bekommen.

Stand der Dinge (gilt hier nur für JPGs) :

JPEG Recovery ist noch die beste Lösung, wenn auch Kostenpflichtig. Die Linux-Lösung scheint ähnlich gute Ergebnisse zu bringen, dann wohl auch kostenlos. Habe leider nicht die Zeit das zu testen, evtl. müsste man mit Keks mal ein paar Bilder tauschen und schauen wieviel die jeweiligen Programme wieder herstellen.

User1 : Bei ihm konnte ich mit einem Schwung konnte ich auf Anhieb ca. 200 von 600 Bildern wieder herstellen. (Warte auf Referenz-Bild für den Rest)

User 2 : Hatte selber schon Bilder von 2 Kameras selber wieder hergestellt. Die Bilder von der 3. Kamera waren nicht wieder herzustellen. Daraufhin habe ich es geschafft auch diese 3 Test-Bilder der Kamera mit einem Referenz-Bild von dieser Kamera wieder herzustellen.

User 3 : Konnte nicht wieder hergestellt werden, evtl. mit Referenz-Bild

User 4 : Test-Dateien die geschickt wurden konnten wieder hergestellt werden.

nur ein Auszug Daher müssen alle die sich jetzt noch melden etwas Wartezeit einplanen. Alles eingehenden Bilder werden gespeichert und, wie es die Zeit erlaubt, bearbeitet.

wie man sieht ist JPEG-Recovery nicht DIE Lösung aber es stellt zumindest schon mal einige Bilder wieder her was diverse andere Programme nicht geschafft haben. Den Rest kann man denke ich mal mit Referenz-Bildern (wie bei User 2) wieder herstellen, daran arbeite ich aber noch. Evtl. wir daraus ein kleines Tool welches in Verbindung mit JPEG-Recovery genutzt werden kann. Aber genaueres dann die Tage.

Jetzt müssen wir nur noch Lösungen für Word und Exel-Dateien finden Aber ich kümmer mich jetzt primär um die JPEG-Sachen.

Grüße
__________________


Alt 09.06.2012, 23:52   #3
Wavetable
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Pfeil

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hallo,

wie es ein User ein paar Seiten vorher schon beschrieben hatte, bin ich bei meinen "Kundenarbeiten" ebenso schon zum 2ten oder 3ten Mal auf diese Variante gestoßen die zwar die bekannte "Achtung_lesen.txt" (o.ä.) auf dem Desktop hinterlegt und auf die Verschlüsselung hinweist - eine Verschlüsselung ist dann aber jeweils nirgendwo auf dem Rechner zu entdecken gewesen.

Es könnte sich hierbei also tatsächlich wohl um eine "neue" Variante handeln. Warum diese aber nur so einen nervigen Screenblocker erstellt und nichts sonst verursacht, das weiß ich natürlich (leider nicht).

Nur eine Vermutung:
Das Teil könnte es ja in ein Script-Kiddie Baukastensystem geschafft haben und da so modifizierbar sein das es "keinen Schaden" anrichtet. Denkar?!


Grüße,
Wavetable
__________________

Alt 10.06.2012, 02:57   #4
Keks5
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



@wavetable
ich habe den Befehl "file" auf die verschlüsselten Dateien los gelassen. Als Ergebnis kam "data". Das ganze habe ich, mal wieder, unter Linux gemacht und der Befehl "erkennt" die Dateitypen nicht an Hand der Endung wie ein Windows. Wenn es sich um ein jpg handelt, als Beispiel, wird es angezeigt, auch wenn das irgendwas.jpg hanszuzu heisst.
Aber, es gibt viele Versionen des Trojaners, wenn Dich so etwas befallen hat ist es "nur" halb so wild.

Ich kann eh gerade nicht schlafen, daher möchte ich nochmal einen Gedanken los lassen.
Das Verschlüsseln funktioniert, imho so, dass der Algorithmus die Datei nimmt und in einen Container Packt und das Original "löscht". Modifizier Datum, rechte usw. werden an den Container übergeben.
Da löschen nicht gleich löschen ist, sollten alle Dateien noch auf dem Dateisystem erhalten sein.

Habe ich hier einen falschen Gedankengang?

Gruß
Keks5

Alt 10.06.2012, 07:37   #5
Undertaker
/// Helfer-Team
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Zitat:
Zitat von Keks5 Beitrag anzeigen
Habe ich hier einen falschen Gedankengang?
Ja, der Vorgang ist etwas anders.
Alle Laufwerke werden nach Datei durchsucht.
Zu jeder gefundenen Datei wird ein neuer, zufälliger Dateiname festgelegt ( Groß- und Kleinbuchstaben) ohne Extension.
Jeder Datei wird ein zufälliger Schlüssel zugeordnet.
Originalname, Zufallsname und Schlüssel zur Datei werden in einer Datenbank zusammengefaßt.
Die ersten 12k der Dateien werden gelesen, der Reihe nach mit dem dazugehörigen Schlüssel + einer immer gleichen Zeichenfolge verschlüsselt und geschrieben. (on the fly, da wird nix gelöscht)

Diese Datenbank wird abschließend 2 mal verschlüsselt und im Temp der Festplatte als Rechner-ID.$02 abgelegt.
Der Schlüssel für diese Datei wird an den C&C Server übertragen und ist auf dem Rechner nicht mehr vorhanden.

Volker

Zitat:
Zitat von Wavetable Beitrag anzeigen
Nur eine Vermutung:
Das Teil könnte es ja in ein Script-Kiddie Baukastensystem geschafft haben und da so modifizierbar sein das es "keinen Schaden" anrichtet. Denkar?!
Denkbar ist natürlich Alles.
Ich vermute eher, die Gangster haben Schwierigkeiten mit dem Handling der Server, so dass die Kommunikation nicht gesichert werden kann.
Seit Version 1.140.1 hat sich da nichts grundlegendes geändert.

Volker

__________________
Das Board unterstützen

Datenrettung -->HIER!

Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer.

Alt 10.06.2012, 08:09   #6
Kabtor
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hallo zusammen,

auf dem (XP) PC meiner Mutter hat mein Bruder leider auch diesen netten Trojaner hier erwischt. Gott sei dank, konnte ich dank euren Tipps die Outlook.pst retten und andere Dateien waren zu einem großem Teil Gott sei dank gesichert.

Es gibt ja nicht mehr viel Hoffnung auf Rettung der restlichen nicht gesicherten Dateien, aber ich habe bei mir zuhause mal alle ihre Dateien gesichert. Außerdem werde ich heute noch versuchen die $02 zu kopieren und vielleicht lässt sich ja noch die $03 wiederherstellen.

Nur mal so aus Neugierde, ich kenne mich da ja auch nicht so aus und vielleicht kann mir das jemand erklären. Wieso werden den die original Dateinamen und deren Schlüssel in dieser $02 gespeichert und wieso wird diese $03 verschickt, wenn eine Bezahlung der geforderten Summe eh keine Entschlüsselung auslöst? Zumindest habe ich jetzt schön öfter gehört, dass auch nach eine Bezahlung nichts entschlüsselt wurde.

Dann ist doch eigentlich egal wo was liegt. Und wozu wird dann auch noch mit dem Server kommuniziert? Der Trojaner könnte doch selber auch eine zufällige Verschlüsselung durchführen ohne den Server.

Danke noch an alle die Leute die sich hier wirklich soviel Mühe geben. Ich würde denke ich manchmal echt die Lust verlieren wenn schon mehrfach Erklärtes eins zu eins ein paar Fragen weiter wieder gefragt wird. Helfer stecken verdammt viel Zeit rein und manche Hilfesuchende wollen nicht suchen oder lesen sonder eine Frage stellen und sofort eine passende Antwort. Es sind inzwischen schon über 70 Seiten ja, aber wenn nicht ständig das gleiche gefragt oder gepostet würde wären man jetzt vielleicht bei 40 und das ganze wäre schon sehr viel übersichtlicher.

Alt 10.06.2012, 10:12   #7
Undertaker
/// Helfer-Team
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Zitat:
Zitat von Kabtor Beitrag anzeigen
Nur mal so aus Neugierde, ich kenne mich da ja auch nicht so aus und vielleicht kann mir das jemand erklären. Wieso werden den die original Dateinamen und deren Schlüssel in dieser $02 gespeichert und wieso wird diese $03 verschickt, wenn eine Bezahlung der geforderten Summe eh keine Entschlüsselung auslöst? Zumindest habe ich jetzt schön öfter gehört, dass auch nach eine Bezahlung nichts entschlüsselt wurde.
Die genauen Gedankengänge sind nur in den Köpfen der Gangster.
Man kann also nur darüber spekulieren.
Es weist aber einiges darauf hin, dass eine Entschlüsselung tatsächlich vorgesehen ist oder war.

Bei der ersten Kommunikation mit dem C&C Server werden mehrere Bitmaps geladen.
In Kurzform sagen die folgendes aus:
Bild1 -->l Der bekannte Ucash-Hinweis.
Bild2-4 --> ähnlich wie Bild1 aber mit Hinweisen über falschen Ucas-Code (3 Versuche).
Die gehen also davon aus, dass der Betroffene einen gültigen Ucash-Code eingibt.
Ist der Code strukturell in Ordnung erscheint
Bild 5 --> Der Hinweis, dass der Code in Ordnung ist und geprüft wird.
Ist die Prüfung in Ordnung erscheint
Bild6 --> Entschlüsselung läuft, Rechner soll am Netz bleiben.
Insofern macht die .$02 also Sinn.

Ich spekuliere mal:
Die haben selbst nicht damit gerechnet, dass sie die Server nicht richtig im Griff haben.
Vielleicht sind die auch nur highjacked oder die Verschleierung im Web funkt dazwischen, oder oder oder.

Volker
__________________
Das Board unterstützen

Datenrettung -->HIER!

Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer.

Antwort

Themen zu Neue Verschlüsselungs-Trojaner Variante im Umlauf
256 bit, 256 bit aes schlüssel, abmahnn, computerverschlüsselungstrojaner, mahnung.zip, rechnung.pif, sie haben sich mit einen windows-verschlüsselungs trojaner infiziert, spam-mails, tr/skelf.a, trojan.matsnu.1, trojan.winlock, trojan:win32/matsnu.gen!a, verschlüsselungs-trojaner, virus verschlüsselt, wickel, willkomen bei windows update, win32/trustezeb.b, windows notfall sicherheits-update center




Ähnliche Themen: Neue Verschlüsselungs-Trojaner Variante im Umlauf


  1. XcodeGhost: Neue Version von manipuliertem Apple-Entwicklungstool im Umlauf
    Nachrichten - 04.11.2015 (0)
  2. Neue DHL-Mail Variante?
    Diskussionsforum - 29.05.2015 (2)
  3. Neue Familie von Erpressungs-Trojanern Umlauf
    Nachrichten - 15.08.2013 (0)
  4. Bundestrojaner neue Variante?
    Plagegeister aller Art und deren Bekämpfung - 26.03.2013 (28)
  5. BKA Trojaner neue Variante "Der Computer ist für die Verletzung der Gesetze der Bundesrepublik..."
    Plagegeister aller Art und deren Bekämpfung - 05.08.2012 (2)
  6. Windows-Verschlüsselungs-Trojaner (Neue Art)
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (1)
  7. Verschlüsselungs Trojaner BKA GEMA Variante
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (1)
  8. Neuer Verschlüsslungs Variante in umlauf
    Diskussionsforum - 13.07.2012 (7)
  9. Verschlüsselungs-Trojaner, Neue Version
    Plagegeister aller Art und deren Bekämpfung - 13.06.2012 (1)
  10. Rechner befallen von ...... Neue Verschlüsselungs-Trojaner Variante im Umlauf
    Plagegeister aller Art und deren Bekämpfung - 12.06.2012 (1)
  11. Verschlüsselungs-Trojaner Variante
    Plagegeister aller Art und deren Bekämpfung - 03.06.2012 (1)
  12. Neue Variante von Ukash
    Log-Analyse und Auswertung - 23.10.2011 (34)
  13. Bundespolizei: Neue Variante vom 'Bundes-Trojaner'
    Plagegeister aller Art und deren Bekämpfung - 09.09.2011 (5)
  14. Neue Mails im Umlauf
    Plagegeister aller Art und deren Bekämpfung - 21.03.2007 (1)
  15. neue Variante von W32.Netsky ?
    Plagegeister aller Art und deren Bekämpfung - 15.04.2005 (10)
  16. Neue Blaster Variante?
    Plagegeister aller Art und deren Bekämpfung - 02.09.2003 (4)

Zum Thema Neue Verschlüsselungs-Trojaner Variante im Umlauf - @Blackvision, Du hast doch schon ein Thema unter "Plagegeister" gestartet. Warte doch erst mal ab, bis sich ein Helfer darauf meldet. Auch wenn Du das Logfile hier noch 10 mal - Neue Verschlüsselungs-Trojaner Variante im Umlauf...
Archiv
Du betrachtest: Neue Verschlüsselungs-Trojaner Variante im Umlauf auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.