@ Sakradi

Also ich habe zumindest mal irgendwo was gelesen das der Verschlüsselungstrojaner wohl ein "Versuchsballoon" in Deutschland sei.
Ob das stimmmt - keine Ahnung.

Rein vom Gefühl her könnte es aber stimmen, da ich mit diesem Verschlüsselungs-Trojaner (CTsdysRTVYXdC - Dateien) bislang nur "Deutsche Kunden" hatte.
Leute die aus Österreich oder der Schweiz oder Frankreich an mich rantreten, waren bislang immer mit dem "alten" BKA/GEMA/GVU/Bundespolizei-Nervtöter infiziert oder hatten im schlimmsten Fall "locked-DATEINAME.wxyz" Varianten.

Genaue Zahlen bzgl. der aktuellen Variante kann ich damit leider aber nicht liefern.


Grüße,
Wavetable

wie viele Versionen gibt es eigentlich mittlerweile? Ich habe gerade 2 (für mich neue) hochgeladen.
Laufen die Versionen jeweils mit unterschiedlichen Servern?

Gruß
Joh

Zitat:

Zitat von JohX

wie viele Versionen gibt es eigentlich mittlerweile? Ich habe gerade 2 (für mich neue) hochgeladen.
Laufen die Versionen jeweils mit unterschiedlichen Servern?

Gruß
Joh

http://www.trojaner-board.de/117117-...tml#post844804

Zitat:

Zitat von Wavetable

Rein vom Gefühl her könnte es aber stimmen, da ich mit diesem Verschlüsselungs-Trojaner (CTsdysRTVYXdC - Dateien) bislang nur "Deutsche Kunden" hatte.

Es gibt zumindest einen englischen Kunden.

Tech Support Guy

Volker

Es gibt zumindest einen englischen Kunden.

Tech Support Guy

Volker[/QUOTE]

hey volker,
meine freundin gat sich das teil bei yahoo.de eingefangen und sie war gott sei dank nicht mit der domain verbunden.mein mail scanner hätte das teil nicht zugelassen.

außerdem Republik of Ireland, nicht england, grrrr.

Zitat:

Zitat von frure

außerdem Republik of Ireland, nicht england, grrrr.

Au weia, verzeihst Du mir.

Zitat:

Zitat von Peter I.

Meine Infektion stammt von heute morgen 01:00, ist infolgedessen wohl die aktuellste Version.

Zwischen der Infektionszeit und der Version besteht kein kausaler Zusammenhang, oder hast Du rein gesehen und die Version ausgelesen?
Sind wir schon über der 2.011 ?
Ich bin nicht mehr auf dem laufenden.

Volker

Nachtrag:

Der Trojaner meldete sich übrigens am 5.6. Die Dateien meines Freundes waren gespeichert unter Dokumente und Einstellungen/All Users/Dokumente/Daten. Wie gesagt, ich konnte überhaupt keine verschlüsselten Daten finden. Alle Dateien sind noch unverschlüsselt. Ein Zugriff in irgendeiner Form auf den Desktop war nicht mehr möglich. Windows-Boot-CD half auch nicht. Nur mit TRK 3.4 konnte ich die Dateien retten. Aber auch die Besipielbilder waren nicht verschlüsselt.

Was ich auf dem Desktop gefunden habe, ist eine ACHTUNG-LESEN.txt mit MTime 5.6.2012 16:36. Ich habe in einem TEMP-Ordner außerdem folgende Dateien mit gleichem MTime gefunden (das Sternchen * mag Midnight Commander bedingt sein und an sich nicht zum Dateinamen gehören):
- *BC9501FD4F4E454C4F567375
- *Desk.$00

Folgende weitere Dateien scheinen mir nach allem was ich dazu gelesen habe, suspekt (ebenfalls in dieser TEMP):
- *moptlybuje.pre mit MTime 4.6.2012 18:09.
- *~DF3348.tmp mit MTime 16.6.2012 12:40. (Das dürfte etwa der Zeitpunkt gewesen sein, als ich die Windows-Boot-CD ausprobiert habe)

Grund für die fehlende Verschlüsselung mag gewesen sein, dass der Rechner nicht über W-LAN sich automatisch mit dem Internet verbinden kann. Vielmehr ist dies nur über eine Kabelverbindung möglich, die nur bei entsprechender Notwendigkeit hergestellt wird. Darüber hinaus handelt es sich um eine Wählverbindung, die (zumindest grundsätzlich) erst vom Benutzer aktiviert werden muss.

Keine Ahnung, ob das hilfreiche Informationen sind. Ich hoffe es jedenfalls.

Rein rechtlich gilt (und hier bin ich ein Fachmann): Unbedingt Anzeige erstatten. Die Staatsanwaltschaft kann nur aktiv werden, wenn sie von einem Fall weiß - und das geht eben über eine Anzeige. Dazu ist die Einhaltung einer bestimmten Form nicht erforderlich, aber es sollte klar sein, dass eine schriftliche, möglichst präzise und ausführliche Beschreibung des Sachverhalts nach Möglichkeit mit allen vorhandenen Beweismitteln die Aufgabe der Staatsanwaltschaft enorm erleichtert. Erkenntnisse, die bereits hier und andernorts über den Trojaner gesammelt wurden, sollten auch an die entsprechende Behörden weitergeleitet werden.

Zitat:

Zitat von EinRing

Keine Ahnung, ob das hilfreiche Informationen sind. Ich hoffe es jedenfalls.

moin moin,
Deine Funde sind zweifelsfrei Teile die der Schädling hinterlässt, sie sind in der Form bekannt und deuten auf eine Version 1.0xx.1 oder höher hin.

Wenn Du in TMP keine Datei der Form [RechnerID].$02 gefunden hast, welche die Keys der verschlüsselten Dateien enthält und keine Dateien verschlüsselt wurden, wurde der Prozess unterbrochen, warum auch immer.

Deine Vermutung ist sehr plausibel.

Wichtig ist nur, dass der Virus entfernt wurde und nicht beim nächsten Internetzugriffs den C&C Server kontaktiert und sein Werk vollendet.

Gruß Volker

Ein Amerikaner, oder wer weiß was für einen Nationalität, ----> A virus renamed all my files (Word, jpeg etc) with the prefex "locked" and encrypted them - Malwarebytes Forum er hat sich nicht weiter dort im Forum dazu geäüsert....

[QUOTE=Undertaker;847804]Au weia, verzeihst Du mir.

na ja, kann ja mal vorkommen, aber aus einem pub hier wärst du nach der aussage nur ziemlich lädiert rausgekommen.

habt ihr irgendeinen anhalt wie die .$02 und die 3 anderen files enkrypted sind?

Zitat:

Zitat von frure

habt ihr irgendeinen anhalt wie die .$02 und die 3 anderen files enkrypted sind?

Den Prozeduraufruf der Windows-API-Funktion CryptDeriveKey
__in ALG_ID Algid, // 0x00006801

Nach MS ist der ALGID 0x00006801 = RC4.

Ob das bei der Version 2 auch noch so ist, weiß ich nicht.
Es ist aber auch egal, solange der Schlüssel für die doppelt verschlüsselte Datei *.$02 irgendwo im Web liegt.

Volker

Zitat:

Zitat von Undertaker

Zwischen der Infektionszeit und der Version besteht kein kausaler Zusammenhang, ...

Die mail trägt den Datumsstempel 16.06.12 - 14:12
und kam erst heute früh an, denn ich hatte den Briefkasten kurz vor Mitternacht noch einmal geleert (das Ding liegt noch im online-Postfach). Und kurz nachdem war auch die Platte platt. Ich habe derzeit keine Anhaltspunkte für eine Karenzzeit.

Zitat:

Zitat von EinRing

Grund für die fehlende Verschlüsselung mag gewesen sein, dass der Rechner nicht über W-LAN sich automatisch mit dem Internet verbinden kann. Vielmehr ist dies nur über eine Kabelverbindung möglich, die nur bei entsprechender Notwendigkeit hergestellt wird. Darüber hinaus handelt es sich um eine Wählverbindung, die (zumindest grundsätzlich) erst vom Benutzer aktiviert werden muss.

Keine Ahnung, ob das hilfreiche Informationen sind. Ich hoffe es jedenfalls.

Irgendwo habe ich gelesen, daß eines der AV-Pakete vor der Verschlüsselung schützt, indem es den Kontakt zum CC-Server unterbindet (das ist dann eben wie bei einer HIV-positiven Person, die im Moment nicht selbst erkrankt).
Nur die wenigsten richten eben heutzutage ihren Rechner so ein, daß er nicht alleine ins Internet kann, auch wenn das aus jetziger Sicht sinnvoll wäre.

Zitat:

Rein rechtlich gilt (und hier bin ich ein Fachmann): Unbedingt Anzeige erstatten. Die Staatsanwaltschaft kann nur aktiv werden, wenn sie von einem Fall weiß - und das geht eben über eine Anzeige. Dazu ist die Einhaltung einer bestimmten Form nicht erforderlich, aber es sollte klar sein, dass eine schriftliche, möglichst präzise und ausführliche Beschreibung des Sachverhalts nach Möglichkeit mit allen vorhandenen Beweismitteln die Aufgabe der Staatsanwaltschaft enorm erleichtert.

Stimmt auffallend. Und indem man verständige Menschen persönlich anspricht und ihnen eine andere Straftat vorgaukelt, bringt man sie ganz geschickt dazu, dann in dieses Loch zu tappen.

Vorsicht! Mein Virus ist im zip hier:
(Viren-Link entfernt!)

Brief habe ich von: bse2058@tiscali.dk

Guten Tag Nutzer Val Val ,

diese Mail wurde bei der Unterzeichnung von 1 O2 Mobilfunk Verträgen angegeben.
Die Simkarten wurden bei der Vertragsunterzeichnung abgegeben. Sicher ist es Ihnen entgangen, dass die Rechnungsfrist der nachfolgenden Rechnung abgelaufen ist. Auf zwei Erinnerungen haben Sie auch nicht reagiert.

Zwischensumme April: 920,92 Euro

Wir bitten Sie, den Gesamtbetrag in den nächsten 7 Tagen zu überweisen.

Die Telefone sollten an Ihre Adresse versendet werden. Leider waren mehrfache Zustellversuche nicht erfolgreich. Wir bitten Sie uns mitzuteilen was mit den beiden Handys (iPhone 4S) gemacht werden soll.

Im im zugefügten Ordner senden wir Ihnen die Unterlagen, die des Passkopie des Unterzeichners, die Rechnungen so wie die Gesprächsauflistung.
Teilen Sie uns bitte mit wo hin die Handys versendet werden sollen.

Mit besten Grüßen

Krämer GmbH
Dannerallee 64
Bremen

Telefon: (0900) 732 1651941
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Abenberg
Umsatzsteuer-ID: DE661522680
Geschäftsfuehrer: Fabian Weiss

Was für Virus ist das?
danke

Zitat:

Zitat von Peter I.

Die mail trägt den Datumsstempel 16.06.12 - 14:12
und kam erst heute früh an, denn ich hatte den Briefkasten kurz vor Mitternacht noch einmal geleert (das Ding liegt noch im online-Postfach). Und kurz nachdem war auch die Platte platt. Ich habe derzeit keine Anhaltspunkte für eine Karenzzeit.

Ich habe erst vorige Woche eine Neuinfektion mit einer aktuellen Mail in den Fingern gehabt, die noch locked- verschlüsselte.
Insofern ist die Infektionszeit kein Garant einer bestimmten Version.
Vielleicht war's auch ein Trittbrettfahrer, der einen alten Dropper verschickt hat.

Volker

Hallo zusammen!

Ein Freund von mir hatte ebenfalls Probleme mit diesem Virus. Allerdings stellte sich sein Problem noch etwas anders dar, als es hier überwiegend geschildert wird. Bei dem Rechner handelt es sich um einen ca. 8 Jahre alten IBM ThinkPad (lenovo 60) Centrino Duo, mit Windows XP Professional SP3.

Nach dem Boot-Vorgang erscheint normal die Login-Maske und fragt nach dem Passwort. Nachdem dieses eingegeben wurde, erscheint für etwa 1 Sekunde das Hintergrundbild, gelegentlich auch noch die Desktop-Icons, dann wird der Bildschirm schwarz und es erscheint das hier im Thema vorgestellte Bild der gefälschten Warnmeldung und der Zahlungsaufforderung. Vom Desktop ist nichts zu sehen.

Die Tastenkombination strg-alt-entf beseitigt den Trojaner-Bildschirm und führt zum klassischen XP-Menü auf schwarzem Hintergrund, das unter anderem die Schaltfläche zum Herunterfahren beinhaltet. Die Schaltfläche zum Aufrufen des Task-Managers ist ausgegraut. Der Task-Manager kann nicht aufgerufen werden. Wird die Schaltfläche Herunterfahren aktiviert, dann gelangt man kurzzeitig auf den Desktop. Keines der Icons scheint verschlüsselt zu sein. Es erscheinen diverse Medlungen, dass Prozesse nicht reagieren und zwangsweise beendet werden. Während dieses Vorgangs ist es nicht möglich irgendein Programm noch auszuführen. Der Computer fährt schließlich herunter.

Der Computer verfügt über ein eigenes "Rescue and Recovery 3" System, nach eigener Angabe basierend auf ThinkVantage Technologie. Dieses kann während des Bootvorgangs mit dem blauen ThinkVantage-Button aufgerufen werden, eine Besonderheit des Computerkeyboards. Nachdem mir die hier geforderten Maßnahmen wie OLT.EXE oder gar die Installation bestimmter Antivirenprogramme aufgrund der Sperrung des Desktop durch den Trojaner nicht möglich war, habe ich dieses Programm während des boot-Vorgangs gestartet. Hier konnte ich Zugriff auf das Dateisystem nehmen. Die Dateien waren nicht umbenannt worden. Es war auch möglich, von den Dateien im Rahmen des Programms eine Sicherung anzulegen. Allerdings war es nicht möglich, die Dateien auf einem UB-Stick zu speichern oder gar auf eine CD zu brennen, obwohl die Hilfe dieses Programms diese Möglichkeiten explizit nannte. Die Dateien wurden wohl auf einer internen Partition gespeichert. Ich war mir zu diesem Zeitpunkt noch nicht sicher, ob die Dateien nun verschlüsselt sind oder nicht, war aber insofern vorsichtig optimistisch, weil das Programm sie kopieren konnte.

Ich besorgte mir schließlich von einem Bekannten, der in der EDV-Betreuung eines Unternehmens arbeitet, eine Windows XP-Boot-CD. Mit dieser ließ sich das System zunächst auch starten. Tatsächlich erschien der Trojanerbildschirm nach dem Einloggen zunächst nicht. Das System arbeitete aber sehr langsam. Der USB-Stick konnte gelesen werden, allerdings nach etwa einer Minute erschien der Trojanerbildschirm. Damit war ein Arbeiten auf dem Desktop nicht mehr möglich. Neustarts auch mit der Boot-CD brachten jetzt immer den Trojanerbildschirm von Anfang an.

Daher startete ich einen neuen Versuch mit einer im Internet verfügbaren Linux SystemrecoveryCD, die von CHIP online angeboten wird. Ein Boot mit dieser CD war jedoch nicht möglich. Die CD führte zu einem Black-Screen/Freeze während des "Loading modules"-Vorgangs. Ein weiterer Versuch mit einer Knoppix-LiveCD scheiterte ebenfalls. Schließlich stieß ich auf den Trinity Rescue Kit, der ebenfalls Linux basiert ist. Damit war es mir möglich über den Midnight Commander sämtliche Dateien auf einen USB-Stick zu kopieren und auf einen anderen Rechner (ohne wichtige Daten) zu übertragen. Gründliche Virenscans mit allen bekannten Programmen haben keine Funde angezeigt. Die Dateien sind nicht verschlüsselt oder sonstwie beschädigt und können normal genutzt werden.

Da somit alle Daten gerettet werden konnten, steht einer kompletten Neuinstallation des Systems nichts mehr im Wege. Insofern brauche ich diesbezüglich auch keine Hilfe mehr. Die Frage, die ich hier habe ist:

Was kann ich noch tun, bevor ich eine komplette Neuinstallation durchführe, um Euch bei der Erforschung/Bekämpfung dieses Virus zu helfen?

Dabei wäre zu beachten, dass es nicht ohne weiteres möglich ist, Programme auf dem Computer zu installieren, da der Trojaner hier jede Möglichkeit sperrt.

Mein Freund und seine Frau konnten mir keinerlei Hinweise darauf geben, wie der Virus auf den Computer gekommen ist. Nach ihrer Aussage wurden keine unbekannten Emailanhänge geöffnet. Man muss dazu sagen, dass beide sehr, sehr wenig Ahnung von Computer haben, weswegen sie sich auch an mich gewandt hatten. Wobei ich selber jetzt auch kein ausgesprochener Computerspezialist bin. Jedenfalls weiß ich nicht genau, wie bzw. wo ich die Schädlingsdatei finde und wie ich sie ggf. sicher, dh ohne andere Rechner zu gefähren, an Euch zwecks Analyse weiterleiten kann. Ich bin mir jetzt auch nicht sicher, ob der Virus eine ältere oder ganz neue bislang unbekannte Variante dieses Trojaners darstellt oder der Virus lediglich durch besondere Umstände an seiner eigentlich vorgesehenen Ausführung gehindert wurde.

Zitat:

Zitat von EinRing

Mein Freund und seine Frau konnten mir keinerlei Hinweise darauf geben, wie der Virus auf den Computer gekommen ist. Nach ihrer Aussage wurden keine unbekannten Emailanhänge geöffnet.

Sie werden Dich nicht angelogen haben, denn das müssen sie nicht unbedingt gemerkt haben. Es ist nicht unbedingt so, daß da nach dem Klick auf den Dateianhang noch irgendetwas von dem passieren muß, was man beim Umgang mit zip-Dateien so kennt.

Zitat:

Ich bin mir jetzt auch nicht sicher, ob der Virus eine ältere oder ganz neue bislang unbekannte Variante dieses Trojaners darstellt oder der Virus lediglich durch besondere Umstände an seiner eigentlich vorgesehenen Ausführung gehindert wurde.

Nach den Ausführungen im Delphi-Forum zu urteilen, gibt es wöchentlich eine aktualisierte Variante.

Meine Infektion stammt von heute morgen 01:00, ist infolgedessen wohl die aktuellste Version.

Ich habe die betroffene Festplatte danach ausgebaut (2,5" S-ATA aus einem Fujitsu Livebook 320 GB, Windows 7 -64) und betreibe den Rechner von einer externen Festplatte, auf die ich ein Linux installiert habe.

Wenn jemand aus der Hamburger Gegend Interesse hat, sich die Platte anzusehen, würde ich sie gerne (ggf. auch noch heute, wenn man den Treffpunkt per PN vereinbaren kann) persönlich leihweise übergeben. Die Daten sind zum überwiegenden Teil Bilder im jpeg- und im NEF-Format. Auf die während der Infektion angeschlossene CF-Karte konnte ich danach von der Live-DVD der Linux-Welt noch zugreifen.