Win32/Trustezeb.C - Die nächste Generation des Verschlüsselungstrojaners

Die neue Variannte des verschlüsselungstrojaners trägt die Versionsnummer 2.000.11

Es gibt einige Änderungen.

Neuer host:
84.72.41.161
lickes-shops.com

Zudem wird versucht, zu im moment nicht funktionierenden Seiten zu verbinden:
wmeu-list.com
dnaey-shop.com
bigedpn-adult.com
wiutumh.com
tsavwu.com
knishka-mir.ru
klubni-mir.ru

Die verwendete Mail-Adresse hat sich in der "bitte lesen.txt" geändert:

Zitat:

Sehr geehrte Damen und Herren,
anscheinend wurde das Update Programm vollständig unterbrochen. Jetzt
kann das Virus nur manuell beseitigt werden. Dies brauchen Sie um Ihre
Dateien benutzen zu können. Falls Sie also die gesperrten Daten
brauchen, senden Sie uns bitte 200 Euro Ukash Code an die Email:
software-update@inbox.lt, so bald dieser Code geprüft wurde, erhalten
Sie ein Update Programm. Falls Sie Ihre Daten nicht brauchen raten wir
Ihnen dringend Ihren Computer zu formatieren um den Virus vollständig zu
entfernen. Ukash können Sie an einer beliebigen Tankstelle erwerben und
auch in mehreren Internetcafes in Ihrer Nähe.
mfG Ihr Security Team

Außerdem ist es der Malware möglich einen alternativen Starteintrag zuerstellen:

Current User\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Startup

Es gibt weitere Änderungen im Code, wir informieren euch über Neuerungen.

Bitte sendet uns bitte verdächtige Mails möglichst zeitnahe zu.
http://markusg.trojaner-board.de

Zumindest sollte man schon mal in der "Host's" - Datei
präventiv diese Adressen auf die 127.0.0.1 lenken...

lickes-shops.com
wmeu-list.com
dnaey-shop.com
bigedpn-adult.com
wiutumh.com
tsavwu.com
knishka-mir.ru
klubni-mir.ru



...weitere 18.700 Schrott-Seiten für die "Host's" gibt's
bei (z.B.) spybot.de

Hallo
Gestern hat meine Frau den Trojaner eingefangen.Sofort wurden 2 Fenster angezeigt mit der Forderung jeweils 100€ per Ukash.Dann hat die LAN Kabel gezogen und den PC per Knopf ausgeschaltet.
Auf dem Rechner ist NOD32 Antivirus und er hat den Trojaner nicht direkt gekillt ,sondern beim Neustart, beim Versuch einen Eintrag in Registry zu schreiben.
Alle Dateien wurden in unlesbares Format umbenannt und heißen einfach "Datei".

Das ist der Name einer JPEG Datei "AAjOggOUUdTaaTEE".

Ich möchte gerne erfahren, wie man die Dateien wiederherstellt.Danke für eure Arbeit hier

Zitat:

Zitat von technik

Das ist der Name einer JPEG Datei "AAjOggOUUdTaaTEE".

Ich möchte gerne erfahren, wie man die Dateien wiederherstellt.Danke für eure Arbeit hier

Ist Dir eventuell aufgefallen, dass auf jeder Seite hier ganz oben ein Frame zu sehen ist.
Dort sind 3 Punkte beschrieben.
Vielleicht wäre zweckmäßig, mal den Link unter Punkt 3 anzuklicken?

Volker

Wir retten alle Ihre Daten (ausser Windows XP). Auch nach Angriffen des neuesten Verschlüsselungs Trojaners!
PC, Laptop einschicken, 2 Tage später haben Sie alle Ihre Daten wieder!

Datenrettung bis 500 MB = € 45,00, je weitere 500 MB plus € 15,00.

Sinnvoll danach komplette Neuinstallation, mit allen Treibern und allen wichtigen Programmen = € 65,00

Computerfachgeschäft
***

Zitat:

Zitat von computerfach

Wir retten alle Ihre Daten
...

Computerfachgeschäft
***

moin moin,
eine ziemlich kühne Behauptung, wobei ich besondern Wert auf alle lege.
Garantiert Ihr dafür?
Wie sehen denn die Vertragsbedingungen aus, wenn ich Euch damit beauftrage?

Volker

So ein Schwachsinn! Die hoffen einfach nur darauf das die Windows Schattenkopien aktiviert sind und kopieren alle Dateien mit dem ShadowExplorer, also reine Abzocke! Selbst jemand ohne IT Wissen könnte die Daten aus einer Schattenkopie wiederherstellen ....

@ computerfach

Schließe mich der Frage von Undertaker an. Das würde mich auch mal interessieren.^^


Grüße,
Wavetable

Zitat:

Zitat von computerfach

Wir retten alle Ihre Daten (ausser Windows XP). Auch nach Angriffen des neuesten Verschlüsselungs Trojaners!
PC, Laptop einschicken, 2 Tage später haben Sie alle Ihre Daten wieder!

Datenrettung bis 500 MB = € 45,00, je weitere 500 MB plus € 15,00.

Sinnvoll danach komplette Neuinstallation, mit allen Treibern und allen wichtigen Programmen = € 65,00

Computerfachgeschäft
***

Das ist schon harter Tobak und verdammt teuer Ich bin selber selbstständig und habe viele Leute die sich den Trojaner eingefangen haben, als ich den ersten mit dieser neuen Verschlüsselung hatte, hab ich ganz schön komisch geguckt weil wirklich gar nichts half die Daten zu retten.

Immerhin ist es mir möglich zumindest ca. 60-70% der betroffenen Bilder zu retten, dafür nehme ich pauschal bei meinen Kunden 49 Euro. Bei den preisen die da genannt wurden, würden meine Kunden mir die Rechner (zurecht) um die Ohren hauen!
Leider lassen sich Mp3 Dateien (noch) nicht retten, es wird zwar öfter beschrieben das ein einfaches umbenennen bzw. anhängen der .mp3-Endung reicht, dies ist aber bislang leider nicht der Fall, die Datei bleibt unbrauchbar. Auch für Office-Dokumente gibt es leider noch nichts, zumindest habe ich noch nichts gefunden was sie perfekt wiederherstellt. Ich hoffe das sich da noch was tut, war bislang stiller Mitleser hier und wollte mich nun doch mal zu Wort melden als ich die Preise da sah...

Leider haben die meisten Leute immer noch nicht verstanden wie wertvoll regelmäßige und häufige Backups sind, die langen Gesichter wenn ich sage das man nicht viel wird retten können kann man sich vorstellen.

Seis drum, vielleicht wird der ein oder andere AV-Hersteller noch ein Tool zum fixen rausbringen, an dieser Stelle jedenfalls vielen Dank für die tolle Arbeit des Trojaner-Boards welche mir als Nachschlaghilfe schon einige male geholfen hat!

Zitat:

Zitat von PC-Exakt

Leider lassen sich Mp3 Dateien (noch) nicht retten, es wird zwar öfter beschrieben das ein einfaches umbenennen bzw. anhängen der .mp3-Endung reicht, dies ist aber bislang leider nicht der Fall, die Datei bleibt unbrauchbar.

moin moin,
meine Erfahrung ist umgekehrt.
Möglicherweise kommen nicht alle Player damit klar, aber der sequenzielle Aufbau einer MP3-Datei, mit eigenem Header pro Sequenz macht es dem Decoder leicht sich zu synchronisieren.

Volker

Hallo Volker,

habe gerade mal etwas probiert, VLC hat es geschafft eine Datei tatsächlich abzuspielen. Der Kunde hängt jedoch sehr an iTunes, ich kenne es, dass VLC defekte Header von Video-Dateien reparieren kann, lassen sich die Header von Mp3 Dateien auch retten?

Habe schon alles ausprobiert.JPEG tool braucht Originaldateien die ich nicht habe...Wenn ich diese hätte,dann brauche ich die verschlüsselten Dateien nicht zu entschlüsseln.Oder verstehe ich was falsch?
Der Entcryptor von Dr. Web funzt auch nicht-habe schon alle Keys ausprobiert,die dort stehen.
Außerdem handelt es sich um einen neuen Trojaner mit anderer Methode für die Verschlüsselung.Gibt es überhaupt ein Tool für die Wiederherstellung der Daten bei dieser Variante?

Zitat:

Zitat von technik

Habe schon alles ausprobiert.JPEG tool braucht Originaldateien die ich nicht habe...Wenn ich diese hätte,dann brauche ich die verschlüsselten Dateien nicht zu entschlüsseln.Oder verstehe ich was falsch?
Der Entcryptor von Dr. Web funzt auch nicht-habe schon alle Keys ausprobiert,die dort stehen.
Außerdem handelt es sich um einen neuen Trojaner mit anderer Methode für die Verschlüsselung.Gibt es überhaupt ein Tool für die Wiederherstellung der Daten bei dieser Variante?

Ich sprach von Punkt 3 ( in Buchstaben drei )

Der Link führt hier hin, nicht zu den Tools für den "alte" Version.

Übrigens, welches JPG-Tool braucht Originale?

Volker

So,Shadow Explorer funzt nicht-> der Wiederherstellungspunkt war heute und hilft nicht mehr.
JPG Snop braucht Original Datei..Echt ich verstehe nicht wozu.

Ah ja,als erstes habe ich die Endung geändert auf jpeg bei einer Datei...Und es gab die Meldung wegen des beschädigten Headers...
Die Daten sind bestimmt weg jetzt.....endgültig

Schon mal JPEG Recovery probiert?
Vielleicht hilft das weiter.
Wiese soll die Datei weg sein, Du arbeitest doch mit Kopien, oder?
Wenn nicht, würde ich dazu raten.

Volker