Hallo,

meine Freundin war leider so unvorsichtig, den Anhang einer Mail zu öffnen, die angeblich von flirt-fever kam und in der von einer Rechnung über ca. 400 Euro die Rede war. Darin war natürlich ein Verschlüsselungs-Trojaner. AntiVir hat den Trojaner leider nicht erkannt.

Den Rechner hatte sie nach dem Auftauchen des üblichen Bildschirms mehrfach ausgeschaltet und neu gestartet. Als ich mir den Rechner ansah lag eine Datei namens ACHTUNG-LESEN.txt auf dem Desktop mit dem folgenden Inhalt:

Code: Alles auswählenAufklappen

ATTFilter

Sehr geehrte Damen und Herren,
anscheinend wurde das Update Programm vollständig unterbrochen. Jetzt kann das Virus nur manuell beseitigt werden. Dies brauchen Sie um Ihre Dateien benutzen zu können. Falls Sie also die gesperrten Daten brauchen, senden Sie uns bitte 200 Euro Ukash Code an die Email: security-center@inbox.lt, so bald dieser Code geprüft wurde, erhalten Sie ein Update Programm. Falls Sie Ihre Daten nicht brauchen raten wir Ihnen dringend Ihren Computer zu formatieren um den Virus vollständig zu entfernen. Ukash können Sie an einer beliebigen Tankstelle erwerben und auch in mehreren Internetcafes in Ihrer Nähe.
mfG Ihr Security Team
         

Ich habe schließlich im abgesicherten Modus mbam installiert und einen Scan durchgeführt, der den Trijan.Agent.RNSGen und Trojan.Agent.Gen erkannte. Seit dessen Beseitigung ist der Rechner zumindest wieder normal nutzbar.

Leider halfen jedoch die hier angebotenen Entschlüsselungstools nicht weiter (Versuch mit anhand der Thumbnails identifizierbaren Vista-Beispielbildern). Automatisch wurde kein Schlüssel gefunden (evtl. sind wegen des Neustarts die Daten mit verschiedenen Schlüsseln chiffriert?). Die Dateinamen haben wie schon bei anderen Nutzern der letzten Zeit nicht das Format "locked-...", sondern ein Durcheinander aus Buchstaben ohne Dateiendungen.

Hier noch das Log von AntiMalware:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.05.06

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Inotschka :: HANNIBAL [Administrator]

Schutz: Deaktiviert

05.06.2012 20:59:13
mbam-log-2012-06-05 (20-59-13).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 370825
Laufzeit: 1 Stunde(n), 3 Minute(n), 

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|928C4072 (Trojan.Agent.RNSGen) -> Daten: C:\Users\Inotschka\AppData\Roaming\Yfcyyfcyy\2E65846D928C407242EF.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\Users\Inotschka\M-1-52-5782-8752-5245 (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 1
C:\Users\Inotschka\AppData\Roaming\Yfcyyfcyy\2E65846D928C407242EF.exe (Trojan.Agent.RNSGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Die E-Mail mit dem Trojaner lasse ich meine Freundin gleich weiterleiten. Bei Bedarf kann ich auch die verschlüsselten Beispielbilder schicken und den originalen Dateinamen zuordnen. Falls sonst irgendwas benötigt wird sagt bescheid! Ich versuche es dann zu organisieren, wobei ich tagsüber auf der Arbeit bin und daher nur abends an den Rechner meiner Freundin kann. Ich hoffe ihr könnt uns irgendwie helfen. Vielen Dank!

hi,
1. die infektionsquelle:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

2. shadow explorer versuchen:
http://www.trojaner-board.de/115496-...erstellen.html

Hallo,

die Mail hat meine Freundin gestern schon weitergeleitet. Sie benutzt web.de über das Webinterface und auch eine Suche hat keinen Hinweis darauf ergeben, wie man sie als EML speichert, also haben wir sie einfach nur weitergeleitet. Sollte die Mail nicht angekommen sein, wäre ich für einen Hinweis und eine Anleitung zum Export als eml dankbar.

Den Ansatz über ShadowExplorer werde ich später versuchen, danke!

Danke für den Hinweis auf ShadowExplorer! So konnte ich wenigstens die Daten auf der C-Partition wiederherstellen. Leider war die Wiederherstellungsfunktion für die Datenpartition deaktiviert (hab sie jetzt auch mal eingeschaltet), aber da sie ohnehin fast alles auf C liegen hatte ist das nicht so sehr tragisch.

Die verschlüsselten Dateien auf der Datenpartition lasse ich vorerst dort liegen für den Fall, dass in den kommenden Monaten doch noch ein Tool helfen kann.