Neue Verschlüsselungs-Trojaner Variante im Umlauf

Nach analyse neuer Samples ist eine neue Variante des Verschlüsselungs-Trojaners aufgetaucht.

Die Verschlüsselung scheint geändert worden zu sein. Wir halten euch auf dem laufenden, wie diese gerettet werden können.

Die neue Variante ist bereits unter folgenden Versionsnummern aufgetaucht:

Version 1.140.1
Dateien werden verschlüsselt
Dateiname wird komplett geändert:
C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\Blue hills.jpg
C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\TxoXdJptaEoQUvpsnED

C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\Sunset.jpg
C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\UvTVeXquOelXALNtQeD


Version 1.150.1
Dateien werden verschlüsselt
keine Umbenennung mehr


UPDATE:
Eine Neuerung gibt es bei den SPAM-Mails die versendet werden. Der Trojaner befindet sich nun in einem mit Passwort gesichertem Archiv.
Die Mails enthalten folgenden Abschitt:

Zitat:

Im Anhangsordner befindet sich die Abrechnung und Empfängeradresse als Druck-Datei.
Die Rechnung wurde laut dem § 4f 7c aus Sicherheitsgründen mit einem privaten Pin verschlüsselt.

Ihr persönliches Kennwort: haus

Weitere Infos zur Version 1.170.1: http://www.trojaner-board.de/115183-...tml#post831949


Version 2.00.11
http://www.trojaner-board.de/117117-...ner-2-0-a.html





Der Trojaner versucht sich mit folgenden IPs zu verbinden:

59.108.115.113 polskamaskas.com
173.194.35.5 google.com
173.194.35.184 google.de
ogutors-free.com
ogutors-free.com/a.php
polskamaskas.com/a.php
spatbe-w.com/a.php
qua-a.com/a.php
horad-forum.com/a.php
spatbe-web.com/a.php
qua-acc.com/a.php
horad-fo.com/a.php

Zitat:

Willkomen bei Windows Update

Sie haben sich mit einen Windows-Verschlüsselungs Trojaner infiziert.

Aus Sicherheitsgründen wurde Ihr Windowssystem blockiert. Das Besuchen von Seiten mit pornografischen und infizierten Inhalten hat dazu geführt. das Ihr System von einem Computerverschlüsselungstrojaner befallen wurde. Dieses Virus verschlüsselt Ihre Festplatte mit einem 256 Bit AES Schlüssel und eine selbstständige Entschlüsselung ist nicht mehr machbar. Um das System wiederherstellen zu können. müssen Sie ein zusätzliches Sicherheitsupdzue herunterladen. Dieses Update ist ein kostenpflichtiges Upgrade für infizierte Windowssysteme. Kostenpflichtig ist es. weil es nicht zum ursprünglichen Windowspaket gehört und nur dafür entwickelt wurde um Ihnen zu helfen Ihre Daten nicht zu verlieren. Bitte schalten Sie Ihren Computer nicht aus, sonst kann es vorkommen das der Virus nicht beseitigt werden kann und Sie Ihre Daten komplett verlieren. Dieses Update beschützt Ihr System vollständig von Virus und Schadmwrzunmen, stabilisiert Ihr Computersystem und verhindert den Datenverlust.

Damit Ihr Computer schnellstens entsperrt wird. nutzen Sie bitte die schnelle und diskrete Zahlungsmöglichkeit Paysakcard oder Ukash. Diese Karten können Sie an fast jeder Tankstelle öder einen Kiosk in Ihrer Nähe kaufen. Diese Codes gibts auch überall da. wo Sie Handyaufladekarten erwerben können. Sofort nach der Eingabe und der Gültigkeitsprüfung wird das Update auf Ihren Computer automatisch heruntergelzulen und installiert. Ihr System wird sofort entschlüsselt und von dem Trojaner befreit. Bitte zahlen Sie das Sicherheit-Update mit einem einzigen Ukash oder Paysafecard Code in passender Höhe sonst kann Ihre Zahlung nicht korrekt bearbeitet werden.

Bitte bevorzugen Sie die Ukash Bezahlm-ethode. Die Prüfung der Paysafecard kann bis zu 6 Stunden in Anspruch nehmen.
Notieren Sie sich sofort folgende Email: securitycenter@inbox.lt. falls Ihr System zusammenbricht und eine automatische Virensuche nicht mehr möglich ist. können Sie das Update auch per Email erwerben und Ihre Daten retten. Senden Sie dafür den gekauften 100 Euro Ukash Code an die genannte E-Mail Adresse. Sie erhalten umgehend das Update Programm zugeschickt.

Der Trojaner sperrt den Rechner und hinterlässt auf dem Desktop eine Botschaft (bitte lesen.txt):

Zitat:

Sehr geehrte Damen und Herren,

anscheinend wurde das Update Programm vollständig unterbrochen. Jetzt kann das Virus nur manuell beseitigt werden. Dies brauchen Sie um Ihre Dateien benutzen zu können. Falls Sie also die gesperrten Daten brauchen, senden Sie uns bitte 200 Euro Ukash Code an die Email: security-center@inbox.lt, so bald dieser Code geprüft wurde, erhalten Sie ein Update Programm. Falls Sie Ihre Daten nicht brauchen raten wir Ihnen dringend Ihren Computer zu formatieren um den Virus vollständig zu entfernen. Ukash können Sie an einer beliebigen Tankstelle erwerben und auch in mehreren Internetcafes in Ihrer Nähe.

mfG Ihr Security Team

Graphische Darstellung der Verschlüsselung (McAffee):





WICHTIG:
Keine unbekannten Anhänge öffnen!
Bei Befall, bitte Thema eröffnen und die Datei einsenden!
http://www.trojaner-board.de/69886-a...-beachten.html

Hallo.

Ich hatte ja bereits unter den Posts
http://www.trojaner-board.de/115006-...tml#post828670 und http://www.trojaner-board.de/115006-...tml#post828886
meine Erfahrungen mit dieser neuen Variante berichtet.

Nun habe ich versucht, den Bösewicht nochmal zu aktivieren. Auf einer anderen XP-Installation sowie auf dem PC der bereits verseucht war, aber von mir schon bereinigt wurde.

Auf beiden Rechnern wurde er zwar im System aktiviert, beim PC kam auch wieder die Meldung, beim Notebook kam keine Meldung, aber bei beiden waren die Registryeinträge da.

Vor dem Aktivieren habe ich eine Verzeichnisstruktur mit Bildern (Bilder mit gleichem Inhalt sowie auch Bilder mit gleichem Namen und Kombinationen daraus) erstellt, die verschlüsselt werden sollte, um anschließend etwas über die Verschlüsselung zu erfahren.
Jedoch wurde nichts mehr verschlüsselt, die Dateien sind noch im Original vorhanden.

Da ich bisher keinen Netzwerksniffer laufen hatte, stelle ich mir die Frage, ob die Zieladressen, wo weitere Schädlinge nachgeladen werden, evtl. nicht erreichbar sind?

Wenn jemand was neues weiss, bitte posten. Ich muss erst meine virtuelle Maschine neu aufsetzen.

Michael

hi
du hast ne andere variannte, oder hat deine, bzw der dropper (installer) in den eigenschaften als datei typ
.pif
?
die kam erst gestern als mail bei mir an, ist also noch neu.
weiterhin gilt, damit wir weiterhin schnell über so was berichten können:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

Guten Morgen zusammen,

ich bin ebenfalls von dieser neuen Variante des Verschlüsselungs-Trojaners betroffen.

Ich bin bei GMX, wie kann ich die erforderlichen Daten zukommen lassen?

Gruß
MateriaMan

Moin

Zitat:

Ich bin bei GMX, wie kann ich die erforderlichen Daten zukommen lassen?

du kannst die Daten an markusg schicken
http://markusg.trojaner-board.de
und/oder du lädst den Anhang nach dieser Anleitung hoch
http://www.trojaner-board.de/54791-a...ner-board.html

vielen Dank dafür

MFG

Hallo, ich habe auch den neuen Trojaner erwischt. Hat alle Daten verschlüsselt. Keine der hier aufgeführten "Reparaturmethoden" schlägt an.
Die email habe ich nicht mehr. Sie kam am 17.05.2012 und hat im email Ordner alle Einträge vom 17.05.2012 gelöscht.
Die überschriebenen Daten habe keine Endung. Egal ob JPG PDF MP3. Alle Ordner sind befallen. Den Trojaner haben wir durch verschiedene Reinigungsprogramme entfernen können. Die Verschlüsselung besteht jedoch weiterhin. Das System XP Serv Pack 3 startet wieder. Beim Hochfahren erhalten wir einen Fehler:SipaHost.exe - Komponente nicht gefunden. Die Anwendung konnte nicht gestartet werden, weil DVCCDBBasic100.dll nicht gefunden wurde." Wenn 15x OK gedrückt wird, verschwindet die Fehlermeldung. Einen Screenshot übersende ich. Weiterhin habe ich eine verschlüsselte Datei und eine Original Datei beigefügt. Die Größe der Dateien bleibt indentisch. Allerdings sind alle verschlüsselten Dateien "erstellt am 13. Februar 1601". Wichtig ist auch noch, dass es keinen Zugriff auf Wiederherstellungspunkte gibt. Es ist nicht möglich, vor der Infektion auf Wiederherstellungspunkte zuzugreifen. Vielleicht helfen diese Beobachtungen bei der Lösung des Problems

Hallo,

einige meiner Fotos konnte ich eben mit dem O&O MediaRecovery wieder reparieren.

LG Adhideva

Wenn jetzt noch jemand wüßte, wie man die Emails in Thunderbird wiederherstellt?

Scheinbar habe ich einen Weg gefunden: http://www.trojaner-board.de/115496-...erstellen.html

Ich hoffe, dass es klappt, was ich grade mache mit dem ShadowExplorer:

Leeren Ordner auf dem Desktop erstellen, dann über den ShadowExplorer die Thunderbird-Daten folgendermaßen finden:

C - Users - Medion (bei mir, bitte euren User selbst raussuchen) - AppData - Roaming - Thunderbird

und dann in den leeren Ordner exportieren.

Den Ordner z.B. auf eine leeren ext. Festplatte sichern.

Ich hoffe, dass ich dann die "kaputten Daten" mit den gesicherten Daten ersetzen kann.

Beim Thunderbird gibt es auch eine Lösung ohne Shadow.

Man suche sein Profileverzeichnis (C:\Users\Benutzer\AppData\Roaming\Thunderbird) und dort die "Local Folders". Da sind in der Regel die Maildateien. Es gibt immer zwei zusammengehörige Dateien, z. B. Inbox und Inbox.msf. Das gilt für Sent, Trash, usw.

Nun öffne man mit einem Editor (z.B. Notepad++ o.ä.) diese Dateien.
Wenn man nun besagte 12288 Bytes runtergeht, muss man Inhalt in dieser Form finden:

Code: Alles auswählenAufklappen

ATTFilter

From - Sun May 11 15:55:53 2008
X-Account-Key: account2
X-UIDL: 0MKqlY-1JvBvt2Qhw-0002qN
X-Mozilla-Status: 0000
X-Mozilla-Status2: 10000000
X-Mozilla-Keys:                                                                                 
Return-Path: <info@asdfg.de>
Delivery-Date: Sun, 11 May 2008 15:49:49 +0200
Received: from m2.goneo.de (m2.goneo.de [82.100.220.83])
	by mx.kundenserver.de (node=mxeu4) with ESMTP (Nemesis)
	id 0MKqlY-1JvBvt2Qhw-0002qN for asdfg@hjkl.de; Sun, 11 May 2008 15:49:49 +0200
Received: from localhost (localhost.goneo.de [127.0.0.1])
	by scan.goneo.de (Postfix) with ESMTP id 675DA130C7B
	for <asdfg@hjkl.de>; Sun, 11 May 2008 15:49:45 +0200 (CEST)
[..]
         

Diese Datei ist dann eine Maildatei.

Da neue Mails immer unten angehängt werden, kann alles was darüber steht, gelöscht werden. So kann man die Datei wiederherstellen.
Wenn ihr die Dateien dann in der Form "Maildatei1", "Maildatei2", usw. umbenennt und dann Thunderbird startet, findet ihr Ordner dieses Namens in der Oberfläche.
Dann diese Mails markieren und in die entsprechenden Ordner (Posteingang, gelöscht,... -diese automatisch wieder angelegt) verschieben.

Die restlichen Einstellungen wie Mailadresse, Server, usw. müssen von Hand neu angelegt werden, das sie vermutlich zerstört wurden.


Michael

Hallo ich bins nochmal,

also das mit der Schattenkopie hat irgendwie nicht funktioniert....er zeigt mir die Dateien die Betroffen sind nicht an...entweder bin ich zu blöd dafür oder es geht wirklich nicht....

Das es für Textdateien noch keine Lösung gibt das weiss ich....


@ Markus

Kann ich die infizierte Mail nicht einfach an dich weiterleiten, dann müsstest du die doch auch bekommen oder?

weil wenn ich die mail markiere, kann ich nicht speichern....


Ich hab grad gesehen das ich in meinem anderen E-Mail Acount auch wieder so eine habe...also ich kann jetzt zwei anbieten...einmal bei gmx und einmal bei web

HAllo du hast eine PM schau es dir mal an Gruß

Hab dann auch mal wieder meine neuste Trojaner-Mail an Markus weitergeleitet.
Interessant: Absender "wrslupus@web.de" und der Versandhandel macXperts

Zitat:

Gesendet: Donnerstag, 17. Mai 2012 um 04:36 Uhr
Von: wrslupus@web.de
An: *******@web.de
Betreff: Ihr Lieferschein Id 75877389
Sehr geehrte Damen und Herren,

Danke für Ihre Bestellung bei macXperts, nachfolgend finden Sie Ihre Antragsbestätigung.

Ihre Bezahlnummer: 319000144285
Artikel: Coluco 9320473443 5051,08 Euro
Rechnungsname: Wie in Bestelldetails abgebildet


Zahlungsmethode: Mastercard

Versandadresse und detaillierte Rechnungsdaten finden Sie wegen Sicherheitsgründen im Zusatzordner.

Die Überweisung wurde autorisiert und wird innerhalb 4 Tage entzogen.
Kaufauflistung und Storno Möglichkeiten finden Sie im Zusatzordner in der E-Mail.


Ihr E-Mail-Support

Seeberg GmbH
Culinstrasse 66
49914 Hannover

Telefon: (+49) 786 2283478
(Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr)
Gesellschaftssitz ist Bad Bentheim
Umsatzsteuer-ID: DE214313877
Geschäftsfuehrer: Frieda Mayer

Und weil es so schön ist gleich noch eine Mail. Interessant ist mitterweile die Tatsache, dass es die Websiten wirklich gibt. Sollte man da nicht irgendwie noch anders reagieren?

Zitat:

Guten Tag,

Danke für ihren Vertrag mit FluidForms, nachfolgend finden Sie Ihre Einkaufsbestätigung.

Ihre Antragsnummer: 372236834384
Artikel: Nokia 5905474206 8799,14 Euro

Zahlungsmethode: Paypal

Versandadresse und detaillierte Rechnung finden Sie wegen Vorsichtsmassnahmen im Anhang.

Die Zahlung wurde autorisiert und wird innerhalb 4 Tage abgetragen.
Bezahleinzelheiten und Storno Möglichkeiten finden Sie im Zusatzordner in der E-Mail.


Ihr Verkaufssupport

Mertel GmbH
Bleckering 94
74550 Köln

Telefon: (+49) 695 6093433
(Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr)
Gesellschaftssitz ist Bad Bibra
Umsatzsteuer-ID: DE525124900
Geschäftsfuehrer: Carla Schulze

Hallo Ich bin seit heute ebenfalls mit diesem Trojaner infiziert..
Wie kann ich die verseuchten Datein wieder herstellen???

Mail ist raus. Hoffe so bei der Lösung des Problems helfen zu können

Gruß
MateriaMan

Ich hab mir auch diesen Dropper.win32.Injector eingefangen, und kann seitdem den größten Teil meiner JPG und AVI nicht mehr öffnen, wer kann mir dabei behilflich sein dies wieder herzustellen?

Hallo, ich habe mich auch mit dem Dropper.win32.Injector Infiziert. Nun kann ich den größten Teil meiner nicht mehr öffnen. Wer kann mir bei diesem Problem behilllich sein. Das blöde an der ganzen ist, das mein Kumpel so ein Mail bekommen hat wo beschrieben ist das er was gekauft hätte. Da er mit dieser Mail nichts anfangen konnte, er er sie einfach an mich weitergeleitet, ohne mich drüber zu Informiere. Als ich die Mail bekommen hatte, habe ich Anfangs wirklich geglaubt das sich mein Kumpel was gekauft hätte, und wollte sehen was, Zack das wars, tolle Freunde. Besteht die Möglichkeit meine Bilder wieder herzustellen? Sind einige schöne von meinen Kidis und Hochzeit dabei. Danke schon mal im Vorraus.... PS: Ich weiß, ich hätte sie Sichern sollen.