Win32/Trustezeb.C - Die nächste Generation des Verschlüsselungstrojaners

Die neue Variannte des verschlüsselungstrojaners trägt die Versionsnummer 2.000.11

Es gibt einige Änderungen.

Neuer host:
84.72.41.161
lickes-shops.com

Zudem wird versucht, zu im moment nicht funktionierenden Seiten zu verbinden:
wmeu-list.com
dnaey-shop.com
bigedpn-adult.com
wiutumh.com
tsavwu.com
knishka-mir.ru
klubni-mir.ru

Die verwendete Mail-Adresse hat sich in der "bitte lesen.txt" geändert:

Zitat:

Sehr geehrte Damen und Herren,
anscheinend wurde das Update Programm vollständig unterbrochen. Jetzt
kann das Virus nur manuell beseitigt werden. Dies brauchen Sie um Ihre
Dateien benutzen zu können. Falls Sie also die gesperrten Daten
brauchen, senden Sie uns bitte 200 Euro Ukash Code an die Email:
software-update@inbox.lt, so bald dieser Code geprüft wurde, erhalten
Sie ein Update Programm. Falls Sie Ihre Daten nicht brauchen raten wir
Ihnen dringend Ihren Computer zu formatieren um den Virus vollständig zu
entfernen. Ukash können Sie an einer beliebigen Tankstelle erwerben und
auch in mehreren Internetcafes in Ihrer Nähe.
mfG Ihr Security Team

Außerdem ist es der Malware möglich einen alternativen Starteintrag zuerstellen:

Current User\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Startup

Es gibt weitere Änderungen im Code, wir informieren euch über Neuerungen.

Bitte sendet uns bitte verdächtige Mails möglichst zeitnahe zu.
http://markusg.trojaner-board.de

Zumindest sollte man schon mal in der "Host's" - Datei
präventiv diese Adressen auf die 127.0.0.1 lenken...

lickes-shops.com
wmeu-list.com
dnaey-shop.com
bigedpn-adult.com
wiutumh.com
tsavwu.com
knishka-mir.ru
klubni-mir.ru



...weitere 18.700 Schrott-Seiten für die "Host's" gibt's
bei (z.B.) spybot.de

Hallo
Gestern hat meine Frau den Trojaner eingefangen.Sofort wurden 2 Fenster angezeigt mit der Forderung jeweils 100€ per Ukash.Dann hat die LAN Kabel gezogen und den PC per Knopf ausgeschaltet.
Auf dem Rechner ist NOD32 Antivirus und er hat den Trojaner nicht direkt gekillt ,sondern beim Neustart, beim Versuch einen Eintrag in Registry zu schreiben.
Alle Dateien wurden in unlesbares Format umbenannt und heißen einfach "Datei".

Das ist der Name einer JPEG Datei "AAjOggOUUdTaaTEE".

Ich möchte gerne erfahren, wie man die Dateien wiederherstellt.Danke für eure Arbeit hier

Zitat:

Zitat von technik

Das ist der Name einer JPEG Datei "AAjOggOUUdTaaTEE".

Ich möchte gerne erfahren, wie man die Dateien wiederherstellt.Danke für eure Arbeit hier

Ist Dir eventuell aufgefallen, dass auf jeder Seite hier ganz oben ein Frame zu sehen ist.
Dort sind 3 Punkte beschrieben.
Vielleicht wäre zweckmäßig, mal den Link unter Punkt 3 anzuklicken?

Volker

Habe schon alles ausprobiert.JPEG tool braucht Originaldateien die ich nicht habe...Wenn ich diese hätte,dann brauche ich die verschlüsselten Dateien nicht zu entschlüsseln.Oder verstehe ich was falsch?
Der Entcryptor von Dr. Web funzt auch nicht-habe schon alle Keys ausprobiert,die dort stehen.
Außerdem handelt es sich um einen neuen Trojaner mit anderer Methode für die Verschlüsselung.Gibt es überhaupt ein Tool für die Wiederherstellung der Daten bei dieser Variante?

Zitat:

Zitat von technik

Habe schon alles ausprobiert.JPEG tool braucht Originaldateien die ich nicht habe...Wenn ich diese hätte,dann brauche ich die verschlüsselten Dateien nicht zu entschlüsseln.Oder verstehe ich was falsch?
Der Entcryptor von Dr. Web funzt auch nicht-habe schon alle Keys ausprobiert,die dort stehen.
Außerdem handelt es sich um einen neuen Trojaner mit anderer Methode für die Verschlüsselung.Gibt es überhaupt ein Tool für die Wiederherstellung der Daten bei dieser Variante?

Ich sprach von Punkt 3 ( in Buchstaben drei )

Der Link führt hier hin, nicht zu den Tools für den "alte" Version.

Übrigens, welches JPG-Tool braucht Originale?

Volker

So,Shadow Explorer funzt nicht-> der Wiederherstellungspunkt war heute und hilft nicht mehr.
JPG Snop braucht Original Datei..Echt ich verstehe nicht wozu.

Ah ja,als erstes habe ich die Endung geändert auf jpeg bei einer Datei...Und es gab die Meldung wegen des beschädigten Headers...
Die Daten sind bestimmt weg jetzt.....endgültig

Schon mal JPEG Recovery probiert?
Vielleicht hilft das weiter.
Wiese soll die Datei weg sein, Du arbeitest doch mit Kopien, oder?
Wenn nicht, würde ich dazu raten.

Volker

Das ist ein Schwachsinn Daten zu entschlüsseln,wenn Kopien in Ordnung sind oder?

Tja,so ein Tool braucht ja Datei mit der Endung JPEG..aber meine Bilder sind nicht mehr JPEG sondern einfach Dateien ohne Endung..

Habe ein Programm gefunden R Studio...aber das ist für wiederherstellung der gelöschten Dateien.Was meint ihr?

Zitat:

Zitat von technik

Ah ja,als erstes habe ich die Endung geändert auf jpeg bei einer Datei...Und es gab die Meldung wegen des beschädigten Headers...
Die Daten sind bestimmt weg jetzt.....endgültig

Zitat:

Zitat von Undertaker

Wiese soll die Datei weg sein, Du arbeitest doch mit Kopien, oder?
Wenn nicht, würde ich dazu raten.

Zitat:

Zitat von technik

Das ist ein Schwachsinn Daten zu entschlüsseln,wenn Kopien in Ordnung sind oder?

Welch schwachsinniger Rat meinerseits, aber Du machst das schon, davon bin ich nun überzeugt.

Was meinst du mit "Kopien"? Ich verstehe darunter "Backup",sprich heile Dateien ,die geöffnet und gelesen werden können.
Es gibt ein Paar Dokumente und Bilder ,die nicht gesichert wurden und die ich gerne wieder haben möchte.
Für andere habe ich Backup auf externer Platte.Außerdem ist mir interessant,wie sowas beseitigt wird bzw.wie die Dateien wiederhergestellt werden.

@ technik

Um mal Undertaker hierbei unter die Arme zu greifen...

Kopien in der Art & Weise, das man erst mal nicht mit den Original verschlüsselten Daten seine Versuche macht.
Grund: Weil man bei misslingen sich danach jede Chance auf Rettung verbogen hat.

Nächstes Problem: Keine VSS (Vorgängerversion/Schattenkopie) mehr da, gleich fast jede einfache Chance auf Datenrettung hinüber.

Nächstes Ding: Warum eine Originaldatei haben für eine Recovery?
Na weil z.B. die alten Tools erst mit einer Originalen und einer verschlüsselten Datei einen "Key" erzeugen konnten der die Daten aller Dateien retten konnte.
Zugegeben, ich kann aktuell auch nur vermuten, das es sich hierbei bei diesem Tool um ähnliches Prinzip handelt.
(Ansonsten mich bitte verbessern...).

Und zum Schluß: Nach (mir bekanntem) aktuellem Stand gibt es außer dem erwähnten Tools und Schattenkopien und einem ordentlichen Backup aktuell (und wohl auch in nächster Zeit) KEINE andere Chance auf eine Datenrettung!
Siehe die dazu hier im Forum oft genug erwähnten Links...


Wie gesagt, ich weiß bestimmt nicht alles und habe evtl. auch hier schon was überlesen. Daher - bitte mich korrigieren wenn ich irgendwo was falsch beschrieben/erklärt/erläutert/verstanden haben sollte.^^


Grüße,
Wavetable

Zitat:

Zitat von Wavetable

Zugegeben, ich kann aktuell auch nur vermuten, das es sich hierbei bei diesem Tool um ähnliches Prinzip handelt.
(Ansonsten mich bitte verbessern...).

Nö, das Tool braucht im Filemode eine Extension, nur im Batchmode geht es auch ohne.
Aber das hat @technik ja selbst raus gefunden.
Ansonsten, alles korrekt!
Oder rede ich wieder Schwachsinn , weiß es selbst nimmer.

Volker

Zitat:

Zitat von Wavetable

@ technik

Um mal Undertaker hierbei unter die Arme zu greifen...

Kopien in der Art & Weise, das man erst mal nicht mit den Original verschlüsselten Daten seine Versuche macht.
Grund: Weil man bei misslingen sich danach jede Chance auf Rettung verbogen hat.

Nächstes Problem: Keine VSS (Vorgängerversion/Schattenkopie) mehr da, gleich fast jede einfache Chance auf Datenrettung hinüber.

Leut's, das ist für Laien nicht so trivial zu verstehen. Wer eine funktionierende Datensicherung vorliegen hat, braucht freilich nicht an den zerstörten Dateien rumfrickeln. Die Erkenntnis, daß man sich mit ungeschicktem Verhalten auf einem Datenträger die restlichen Chancen zur Spurensicherung verbaut, ist beileibe kein Allgemeingut. Man sieht zwar genügend Krimis im Fernsehen, ist aber mit der Abstraktion der Erkenntnisse überfordert.

Es ist doch ganz einfach:
Von dem verschlüsselten Ordner erstellt man eine Kopie. Mit dieser Kopie kann man herumexperimentieren bis das Mainboard schmilzt. Macht man hingegen die Experimente mit dem original verschlüsselten Ordner, so muss man sich nicht wundern, wenn jegliche Chance auf eine Datenrettung verbaut ist.

Das ist sogar für einen Laien wie mich einfach zu verstehen.
Aber vielleicht bin ich ja nur 'ne Ausnahme...