Verschlüsselungstrojaner - neue Welle

Vermehrt wird wieder neuer SPAM mit einer neuen Version des Verschlüsselungstrojaners gesendet.
Die genannten Firmen variieren in den SPAM Mails.

Beispieltext:

Zitat:

Hallo XXX,

Auf zwei Erinnerungen ist keine Reaktion von ihnen erfolgt. Sicherlich ist
es Ihnen entgangen, dass die Zahlungsfrist der nachfolgenden Mahnung
abgelaufen ist.

Summe: 642,24 Euro
Mänge: 1
Gelieferte Ware: Nokia Life XC
Artikel Nr.: 7200661548484

Wegen zusätzlichen Kosten anlässlich des Ausgleichs von Gebührenforderungen
erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 60.- Euro

Falls in den folgenden 7 Tagen der Gesamtbetrag nicht überwiesen wird, sehen
wir uns leider gezwungen, ein Gerichtsverfahren in die Wege zu leiten und
ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen.

Betrachten Sie dieses Mahnungsschreiben bitte als gegenstandslos, falls sich
dieses Mahnungsschreiben mit der Bezahlung des ausstehenden Betrags zeitlich
überschnitten haben sollte.

Anlagen:
- Rechnung
- Lieferschein

Mit freundlichen Grüßen

Hartmann GmbH
Billufer 57
Augsburg

Telefon: (0180) 533 0908713
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Bad Berneck
Umsatzsteuer-ID: DE547650961
Geschäftsfuehrer: Philipp Benen

Im Anhang ist ein ZIP-Archiv mit Namen wie:
Schreiben.zip
Daten.zip
Mahnung.zip

Code: Alles auswählenAufklappen

ATTFilter

SHA256:
d6c7369acac524c7865f6bae7a432338e973bf7d4623d6d3abd1b05a7c9344e7
 
SHA1:
202e5a1838944f0ba4917798ee807d4ac64309bf
 
MD5:
a1edd8a3ba3b44036e8250c319592483
         

Es gibt Hinweise darauf, dass der Backdoor Trojan.Win32.Bublik nachgeladen und instaliert wird.


Wichtig:
Archiv nicht öffnen.
Mail bitte an uns weiterleiten: http://markusg.trojaner-board.de


Bei Problemen:
PC vom Internet trennen und bitte hier von einem zweiten PC aus ein Thema erstellen um den PC zu bereinigen.

Hallo,

leider habe ich gestern auch so eine Mail bekommen. Der Text in der Mail war der gleiche wie hier angegeben, nur, dass ich 3 Kameras zu 750,-€ bestellt habe. Als Attachment "wichtig.zip". Avira hat dann "drop.injector.firp" entdeckt.

So, dann hatte ich heute sofort meinem Rechner in der Werkstatt. Da wurde der Trojaner nicht mehr gefunden.

Nun gerade habe ich Avira nochmals durchlaufen lassen und da hat er schon wieder was auf meinem Rechner gefunden diesmal TR/Dropper.Gen

Seit ich gegen 18:00 meinen Rechner angeschalten habe, wollen sich Spam-Mails über mehrere Mail-Accounts verteilen. Der eine Mail-Account befindet sich bei Alfahosting. Von da erhalte ich vom Vorfilder (DCC) in der Stunde um die 200 Mails zurück. Passwort ändern auf dem Server hat nichts gebracht. Fortlaufend flattern neue Mails ein. Der 2. Account liegt bei GMX, da dort der Vorfilder nicht so gut funktioniert, merke ich natürlich nicht in wie fern dieses Konto als Spamverteiler mißbraucht wird.

Der Support von Alfahosting läuft in diesem Fall mal Support sehr schleppend.

Das war jetzt ziemlich viel Text, ich hoffe ihr habt Lust es Euch durchzulesen und es fällt euch etwas hilfreiches ein. Ich brauche meinen Rechner zum arbeiten und pflege mehrer Websiten. Ehrlich gesagt habe ich auch Angst, dass ich solch schädliche Software nun an alle möglichen Leute verteile.

Danke,

Grit

@botany: du solltest unter "Plagegeister und deren Beseitigung" einen Thread aufmachen. Dein Post gehört nicht in diesen Thread.

@DaGuru: wäre nicht ein Hinweis dass beim Verschlüsselungstrojaner sobald man diesen erkennt der Rechner "notfalls mit Gewalt" so schnell wie möglich ausgeschaltet werden sollte hilfreich ? Je früher man den Trojaner beim Verschlüsseln unterbricht desto mehr Dateien sollten unverschlüsselt und damit rettbar vorliegen ...

@w-dackel: kann ich meinen Beitrag dahin verschieben? Ich poste hier zum 1. Mal

Hy botany , mach dort einfach ein neues Thema auf. Dann muss nicht extra verschoben werden.
Das ist denen auch lieber

ich habe ein neues Thema unter "Plagegeister ...." aufgemacht, es heißt:
"drop.injector.firp und TR/Dropper.Gen"

wir machen dafür, denke ich,noch ne meldung fertig, aber schon mal als kleine warnung, momentan wird spam im namen der Sex Kontakte AG verteilt
Sehr geehrter Nutzer x,
wir sind sehr Dankbar für Ihr Interesse an dem kostenpflichtigen Dienst von Sex Kontakte AG. Seit Ihrer Anmeldung am 16.06.2012 sind nunmehr zwei Wochen
verstrichen, ohne dass Sie schriftlich von Ihrem Widerrufsrecht Gebrauch gemacht haben. Wir sind sehr erfreut, dass unser Angebot Ihren Zuspruch gefunden
hat und erlauben uns, für die Bereitstellung und Erbringung unserer Dienstleistung das vereinbarte Nutzungsentgelt in Rechnung zu stellen.

Kundennummer: KCOUR-572098
Rechnungsnummer: UFXI45984-9532504037

12 Monate Mitgliedschaft: 550,81 EUR
Zeit: 15.06.2012 - 22.06.2013

Bitte übertragen Sie den Rechnungsbetrag bis zum 17.07.2012 unter Angabe des Verwendungszwecks DPPP92318-8428515507 an unser Bankkonto:

Kontoinhaber: Beck GmbH
Konto: 243360227
Bankleitzahl: 781 923 63

Wir bitten Sie den ausstehenden Rechnungsbetrag innerhalb der gennanten Frist zu überweisen,um die Entstehung zusätzlicher Mahnkosten zu vermeiden.

Beilagen:
- Rechnung
- Vertragsdaten

Ferner haben Sie uns gegenüber begläubigt, die diesem Vertrag zugrunde liegenden AGB gelesen und angenommen zu haben. Das Ihnen zustehende Widerrufsrecht
haben Sie gar nicht, nicht fristgerecht oder unwirksam ausgeübt.

Mit verbindlichen Grüßen dein Support

wer sowas bekommt, nicht öffnen, und an uns weiterleiten

http://www.trojaner-board.de/119467-...strojaner.html

das gute stück instaliert jetzt auch noch
Trojan.Win32.Bublik

Über die Bankverbindung musste es doch möglich sein, den Menschen der dahinter steckt ausfindig zu machen.

Zitat:

Zitat von Henry84

Über die Bankverbindung musste es doch möglich sein, den Menschen der dahinter steckt ausfindig zu machen.

Mal abgesehen davon, dass die Namen real existierender Firmen hier missbraucht werden, erkläre mir mal, welche Bank hinter der Bankleitzahl 781 923 63 stecken soll.
Dein Vorgeschlagener Weg führt ins Nirvana.
Außerdem ist für die Schurken der Mailinhalt nur Text. Keiner erwartet da eine Überweisung.
Ziel ist der Ucash-Code.

Volker

Hallo,

bei mir häufen sich seit zwei Wochen die Anfragen von Kunden die mit der neuen Version infiziert sind. Scheint nicht wirklich abzuebben, werde mir wohl eine VM aufsetzen und infizieren damit ich weiter experimentieren kann mit den Tools und Hinweisen die hier auftauchen zwecks Datenrettung.

Gibt es eigentlich schon Meldungen zu Drive-By-Versionen ?
Ich hatte mir auch einen UKash eingefangen, aber nicht durch eine Mail oder einen (bewußten) Download, sondern auf einer großen, harmlosen Seite - vermutlich durch einen infizierten Flashbanner. Da sie bekannt war, waren die Einstellungen für NoScript zu locker.

moin moin Piglet,
der Virus hat aber nix verschlüsselt, oder?
Es gibt ja nicht nur Verschlüsseler unter der Ransomware.
Mir ist noch keine Drive-by Infektion mit dem Verschlüsselungstrojaner bekannt, was aber nichts heißen soll, denn auch der wird weiter entwickelt.

Volker

Moin Undertaker,

es sah so aus, als wenn er gestört wurde. Avira fand und blockierte eine unlocker.dll, die er als "Agent.ewu 1" identifiziert hat. Der Teil, der durchkam, wurde von MBAM als "Trojan.Agent.RNSGen" bezeichnet. Ich wünschte, die Jungs würden ihre Kreativität zu guten Zwecken einsetzen...

Ich dachte es wäre ruhe aber es geht weiter...

Zitat:

Sehr geehrter Kunde,

bei der Überprüfung der Zahlungseingänge stellten wir fest, dass Sie die
Rechnung Nr. 2979442/2012 noch nicht beglichen haben.

Artikel: Toshiba WT9E 1592,24 Euro

Hiermit verpflichten wir Sie so schnell wie möglich, Ihre nicht bezahlte
Rechnung zu begleichen und damit weitere Inkasso-Büro Kosten einzusparen.

Wir müssen Ihnen 13,00 Euro des Weiteren zu der noch offenen Forderung als
Mahngebühr in Rechnung stellen.
Wir bitten Sie, den fälligen Betrag bis zum 01.09.2012 auf das angegebene Konto
zu übersenden.

Die Rechnung und die Artikel Liste liegen dieser E-Mail als Kopie bei.

Mit verbindlichen Grüßen

KonsolenprofisVersand GmbH Bad Bibra
Geschäftsführer: Lili Klein
Fimen-Nummer: DE172971423

Werde mal versuchen die Mail an den Markus hier weiterzuleiten...

Ist heute eingetroffen die Mail !

Schade kann die nicht als .eml speichern