Neue Verschlüsselungs-Trojaner Variante im Umlauf

Nach analyse neuer Samples ist eine neue Variante des Verschlüsselungs-Trojaners aufgetaucht.

Die Verschlüsselung scheint geändert worden zu sein. Wir halten euch auf dem laufenden, wie diese gerettet werden können.

Die neue Variante ist bereits unter folgenden Versionsnummern aufgetaucht:

Version 1.140.1
Dateien werden verschlüsselt
Dateiname wird komplett geändert:
C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\Blue hills.jpg
C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\TxoXdJptaEoQUvpsnED

C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\Sunset.jpg
C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\UvTVeXquOelXALNtQeD


Version 1.150.1
Dateien werden verschlüsselt
keine Umbenennung mehr


UPDATE:
Eine Neuerung gibt es bei den SPAM-Mails die versendet werden. Der Trojaner befindet sich nun in einem mit Passwort gesichertem Archiv.
Die Mails enthalten folgenden Abschitt:

Zitat:

Im Anhangsordner befindet sich die Abrechnung und Empfängeradresse als Druck-Datei.
Die Rechnung wurde laut dem § 4f 7c aus Sicherheitsgründen mit einem privaten Pin verschlüsselt.

Ihr persönliches Kennwort: haus

Weitere Infos zur Version 1.170.1: http://www.trojaner-board.de/115183-...tml#post831949


Version 2.00.11
http://www.trojaner-board.de/117117-...ner-2-0-a.html





Der Trojaner versucht sich mit folgenden IPs zu verbinden:

59.108.115.113 polskamaskas.com
173.194.35.5 google.com
173.194.35.184 google.de
ogutors-free.com
ogutors-free.com/a.php
polskamaskas.com/a.php
spatbe-w.com/a.php
qua-a.com/a.php
horad-forum.com/a.php
spatbe-web.com/a.php
qua-acc.com/a.php
horad-fo.com/a.php

Zitat:

Willkomen bei Windows Update

Sie haben sich mit einen Windows-Verschlüsselungs Trojaner infiziert.

Aus Sicherheitsgründen wurde Ihr Windowssystem blockiert. Das Besuchen von Seiten mit pornografischen und infizierten Inhalten hat dazu geführt. das Ihr System von einem Computerverschlüsselungstrojaner befallen wurde. Dieses Virus verschlüsselt Ihre Festplatte mit einem 256 Bit AES Schlüssel und eine selbstständige Entschlüsselung ist nicht mehr machbar. Um das System wiederherstellen zu können. müssen Sie ein zusätzliches Sicherheitsupdzue herunterladen. Dieses Update ist ein kostenpflichtiges Upgrade für infizierte Windowssysteme. Kostenpflichtig ist es. weil es nicht zum ursprünglichen Windowspaket gehört und nur dafür entwickelt wurde um Ihnen zu helfen Ihre Daten nicht zu verlieren. Bitte schalten Sie Ihren Computer nicht aus, sonst kann es vorkommen das der Virus nicht beseitigt werden kann und Sie Ihre Daten komplett verlieren. Dieses Update beschützt Ihr System vollständig von Virus und Schadmwrzunmen, stabilisiert Ihr Computersystem und verhindert den Datenverlust.

Damit Ihr Computer schnellstens entsperrt wird. nutzen Sie bitte die schnelle und diskrete Zahlungsmöglichkeit Paysakcard oder Ukash. Diese Karten können Sie an fast jeder Tankstelle öder einen Kiosk in Ihrer Nähe kaufen. Diese Codes gibts auch überall da. wo Sie Handyaufladekarten erwerben können. Sofort nach der Eingabe und der Gültigkeitsprüfung wird das Update auf Ihren Computer automatisch heruntergelzulen und installiert. Ihr System wird sofort entschlüsselt und von dem Trojaner befreit. Bitte zahlen Sie das Sicherheit-Update mit einem einzigen Ukash oder Paysafecard Code in passender Höhe sonst kann Ihre Zahlung nicht korrekt bearbeitet werden.

Bitte bevorzugen Sie die Ukash Bezahlm-ethode. Die Prüfung der Paysafecard kann bis zu 6 Stunden in Anspruch nehmen.
Notieren Sie sich sofort folgende Email: securitycenter@inbox.lt. falls Ihr System zusammenbricht und eine automatische Virensuche nicht mehr möglich ist. können Sie das Update auch per Email erwerben und Ihre Daten retten. Senden Sie dafür den gekauften 100 Euro Ukash Code an die genannte E-Mail Adresse. Sie erhalten umgehend das Update Programm zugeschickt.

Der Trojaner sperrt den Rechner und hinterlässt auf dem Desktop eine Botschaft (bitte lesen.txt):

Zitat:

Sehr geehrte Damen und Herren,

anscheinend wurde das Update Programm vollständig unterbrochen. Jetzt kann das Virus nur manuell beseitigt werden. Dies brauchen Sie um Ihre Dateien benutzen zu können. Falls Sie also die gesperrten Daten brauchen, senden Sie uns bitte 200 Euro Ukash Code an die Email: security-center@inbox.lt, so bald dieser Code geprüft wurde, erhalten Sie ein Update Programm. Falls Sie Ihre Daten nicht brauchen raten wir Ihnen dringend Ihren Computer zu formatieren um den Virus vollständig zu entfernen. Ukash können Sie an einer beliebigen Tankstelle erwerben und auch in mehreren Internetcafes in Ihrer Nähe.

mfG Ihr Security Team

Graphische Darstellung der Verschlüsselung (McAffee):





WICHTIG:
Keine unbekannten Anhänge öffnen!
Bei Befall, bitte Thema eröffnen und die Datei einsenden!
http://www.trojaner-board.de/69886-a...-beachten.html

Hallo.

Ich hatte ja bereits unter den Posts
http://www.trojaner-board.de/115006-...tml#post828670 und http://www.trojaner-board.de/115006-...tml#post828886
meine Erfahrungen mit dieser neuen Variante berichtet.

Nun habe ich versucht, den Bösewicht nochmal zu aktivieren. Auf einer anderen XP-Installation sowie auf dem PC der bereits verseucht war, aber von mir schon bereinigt wurde.

Auf beiden Rechnern wurde er zwar im System aktiviert, beim PC kam auch wieder die Meldung, beim Notebook kam keine Meldung, aber bei beiden waren die Registryeinträge da.

Vor dem Aktivieren habe ich eine Verzeichnisstruktur mit Bildern (Bilder mit gleichem Inhalt sowie auch Bilder mit gleichem Namen und Kombinationen daraus) erstellt, die verschlüsselt werden sollte, um anschließend etwas über die Verschlüsselung zu erfahren.
Jedoch wurde nichts mehr verschlüsselt, die Dateien sind noch im Original vorhanden.

Da ich bisher keinen Netzwerksniffer laufen hatte, stelle ich mir die Frage, ob die Zieladressen, wo weitere Schädlinge nachgeladen werden, evtl. nicht erreichbar sind?

Wenn jemand was neues weiss, bitte posten. Ich muss erst meine virtuelle Maschine neu aufsetzen.

Michael

hi
du hast ne andere variannte, oder hat deine, bzw der dropper (installer) in den eigenschaften als datei typ
.pif
?
die kam erst gestern als mail bei mir an, ist also noch neu.
weiterhin gilt, damit wir weiterhin schnell über so was berichten können:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

Guten Morgen zusammen,

ich bin ebenfalls von dieser neuen Variante des Verschlüsselungs-Trojaners betroffen.

Ich bin bei GMX, wie kann ich die erforderlichen Daten zukommen lassen?

Gruß
MateriaMan

Moin

Zitat:

Ich bin bei GMX, wie kann ich die erforderlichen Daten zukommen lassen?

du kannst die Daten an markusg schicken
http://markusg.trojaner-board.de
und/oder du lädst den Anhang nach dieser Anleitung hoch
http://www.trojaner-board.de/54791-a...ner-board.html

vielen Dank dafür

MFG

Hab dann auch mal wieder meine neuste Trojaner-Mail an Markus weitergeleitet.
Interessant: Absender "wrslupus@web.de" und der Versandhandel macXperts

Zitat:

Gesendet: Donnerstag, 17. Mai 2012 um 04:36 Uhr
Von: wrslupus@web.de
An: *******@web.de
Betreff: Ihr Lieferschein Id 75877389
Sehr geehrte Damen und Herren,

Danke für Ihre Bestellung bei macXperts, nachfolgend finden Sie Ihre Antragsbestätigung.

Ihre Bezahlnummer: 319000144285
Artikel: Coluco 9320473443 5051,08 Euro
Rechnungsname: Wie in Bestelldetails abgebildet


Zahlungsmethode: Mastercard

Versandadresse und detaillierte Rechnungsdaten finden Sie wegen Sicherheitsgründen im Zusatzordner.

Die Überweisung wurde autorisiert und wird innerhalb 4 Tage entzogen.
Kaufauflistung und Storno Möglichkeiten finden Sie im Zusatzordner in der E-Mail.


Ihr E-Mail-Support

Seeberg GmbH
Culinstrasse 66
49914 Hannover

Telefon: (+49) 786 2283478
(Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr)
Gesellschaftssitz ist Bad Bentheim
Umsatzsteuer-ID: DE214313877
Geschäftsfuehrer: Frieda Mayer

Und weil es so schön ist gleich noch eine Mail. Interessant ist mitterweile die Tatsache, dass es die Websiten wirklich gibt. Sollte man da nicht irgendwie noch anders reagieren?

Zitat:

Guten Tag,

Danke für ihren Vertrag mit FluidForms, nachfolgend finden Sie Ihre Einkaufsbestätigung.

Ihre Antragsnummer: 372236834384
Artikel: Nokia 5905474206 8799,14 Euro

Zahlungsmethode: Paypal

Versandadresse und detaillierte Rechnung finden Sie wegen Vorsichtsmassnahmen im Anhang.

Die Zahlung wurde autorisiert und wird innerhalb 4 Tage abgetragen.
Bezahleinzelheiten und Storno Möglichkeiten finden Sie im Zusatzordner in der E-Mail.


Ihr Verkaufssupport

Mertel GmbH
Bleckering 94
74550 Köln

Telefon: (+49) 695 6093433
(Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr)
Gesellschaftssitz ist Bad Bibra
Umsatzsteuer-ID: DE525124900
Geschäftsfuehrer: Carla Schulze

Hallo Ich bin seit heute ebenfalls mit diesem Trojaner infiziert..
Wie kann ich die verseuchten Datein wieder herstellen???

Hallo, ich habe mich gerade infiziert Ich bin total unglücklich. Wie kann ich meine Dokumente wieder herstellen und den Trojaner vernichten ? (Ich kenne mich mit sowas nicht aus) Bitte um Hilfe !!!

Ach ja das ist die Email:
Sehr geehrte/r Kunde/Kundin,

Vielen Dank für Ihren Vertrag mit teemarktplatz.de, nachfolgend finden Sie Ihre Bestellbestätigung.

Deine Gebotsnummer: 031263883430
Artikel: BareBone 7453487975 5378,14 Euro
Rechnungsname: Wie in Rechnungsdaten mitgeteilt


Zahlungsmethode: Bankeinzug

Versandadresse und detaillierte Vertragsdaten finden Sie aus Sicherheitsmaßnahmen in beigefügter Datei.

Die Überweisung wurde autorisiert und wird innerhalb 4 Tage abgetragen.
Artikeldetails und Widerspruch Mitteilung finden Sie im Anhang.


Ihr Kundenberater

Kraus GmbH
Hermannstal 41
10501 München

Telefon: (+49) 471 6618632
(Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr)
Gesellschaftssitz ist Alzenau
Umsatzsteuer-ID: DE100030436
Geschäftsfuehrer: Victoria Seidel

Mail ist raus. Hoffe so bei der Lösung des Problems helfen zu können

Gruß
MateriaMan

@VannyJoan
lies post 3, und sende mir die mail zu.
nach welchem chema sind die verschlüsselten dateien benannt?
sind sie umbenannt worden wie hier als beispiel angegeben.
haben sie ein locked vor dem datei namen oder sind sie gar nicht umbenannt worden?

Also wenn ich das Dokument öffne steht da i.was chinesisches und dann will ich auf Freigeben für, aber da ist ein Schloss und das ist bei "Niemand".

ich möcht wissen, ob die datei umbenannt wurde, oder den original namen hatt, bzw wenn sie umbenannt wurden, wie. nen beispiel reicht

Nein nein. Sie heißt noch wie immer. Nur der Inhalt ist halt weg.

ok.
wir warten hier leider noch auf infos, welche verschlüsselungs art genutzt wurde und ob es entschlüsselungsmöglichkeiten geben wird.
wenn wieder solche mails eintreffen, bitte weiter leiten

ich habe ebenfalls diesen Trojaner, habe schon mehrfach mit der spezial CD
gebootet und die Logfiles erstellt.


kann ich hier die mal eben posten

irgendwie brauche ich wohl nun die Hilfe eines Menschn um das Scriptfile fix.txt zu erstellen, sehe ich das richtig ?

wie kontrolliere ich ob meine OTLPE Version neu genug ist ?