Hallo an das Forum,

erst mal ganz herzlichen Dank an alle die sich hier so aktiv engagieren und den betroffenen Hilfe leisten.

Ich habe heute auch eine dieser Mail´s bekommen mit dem Anhang Bescheid.zip.

Mein BS ist W7 x64.
In der Hoffnung das es einem der Gurus hilft versuche ich das vorgehen des Virus hiermal soweit zu beschreiben. Da auch bei mir einige wichtige und viele unwichtige Dateien betroffen sind hoffe ich natürlich auch auf einen Decrypter.

Ich habe diese Mail geöffnet und den Anhang bereits in Verdacht gehabt. Diesen dann mit MS Essentials gescannt. Kein Hinweis auf einen Virus.

Nach einigen Minuten meldete sich Elo Office bereits mit Fehlern.
Nach einem Neustart hat ich dann die besagte Meldung mit der höflichen Bitte doch einen Opulus zu spenden.

Den Rechner sofort ausgeschaltet, ein Backup vom beschädigtem System erstellt und ein altes Backup vom System incl. MBR eingespielt.

Den Mail-Anhang habe ich mit Dr. web. gesannt und die Meldung "infiziert mit Trojan.Matsnu.10" erhalten.Anhang 35479

Beim scannen des gemounteten, beschädigtem System mit Malwarebytes hat diese den Virus "Packer.ModifiedUPX" gefunden. Anhang 35480

Was jetzt davon richtig ist habe ich keine Ahnung.


Der Virus hat bei mir jede Art von Datei (*.pdf, *.tib, *.rar, *.doc....) in diese Art umbenannt. "yjaGADnXvyfqXNssou"
Dabei ist er systematisch Ordner für Ordner vorgegangen und hat bis auf *.vmdk, *.vmsd, *.vmx, *.vmsd, *.nvram, VM Workstation, keine ausgelassen.
Offensichtlich hat er auch alle Laufwerke gleichzeitig und sehr schnell bearbeitet, wobei er mit einem Laufwerk mit großen Dateien (3000 dateien> 1,74 TB) schneller fertig war als auf einem Laufwerk mit kleinen Dateien. (251000 Dateien> 1,93 TB aber nur 3100 Dateien>1,63GB verschlüsselt)
Auf Netzlaufwerke konnte er nicht zugreifen und den USB-Stick hat er auch in Ruhe gelassen. Ich kann aber nicht sagen ob er auf USB nicht zugreifen wollte, nicht konnte oder der noch nicht dran war.
Da ich das System relativ schnell zum Absturz gebracht habe und eine vielzahl von Kopien und Backups habe, konnte der Virus nicht alle Datein bearbeiten, somit habe ich eine ganze Menge gleicher Datein verschlüsselt und unverschlüsselt, sowie die originale Mail, den originalen Anhang und wie gesagt ein Backup vom beschädigtem System.

Wen jemand zu Analysezwecken etwas davon braucht kann ich alles zur Verfügung stellen. (Mail mit dem Virus an dem Admin ist bereits verschickt)

Sämtliche Tools dieses Forums haben keinen Erfolg gebracht.

Eben konnte ich eine *.rar trotz fehlender Wiederherstellungsinformationen wieder herstellen. Nach einigen Fehlermeldungen (Dateikopf beschädigt etc.) hat alles ohne Probleme geklappt. Dateinamen und Verzeichnisse sind unverändert. Bis auf den Namen der *.rar -Datei ist alles o.k.
Kann dass jemand erklären?

Gruß
Rainer

hi, solche mails immer senden an uns:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.
hast du windows vista bzw 7?