Verschlüsselungstrojaner - neue Welle

Vermehrt wird wieder neuer SPAM mit einer neuen Version des Verschlüsselungstrojaners gesendet.
Die genannten Firmen variieren in den SPAM Mails.

Beispieltext:

Zitat:

Hallo XXX,

Auf zwei Erinnerungen ist keine Reaktion von ihnen erfolgt. Sicherlich ist
es Ihnen entgangen, dass die Zahlungsfrist der nachfolgenden Mahnung
abgelaufen ist.

Summe: 642,24 Euro
Mänge: 1
Gelieferte Ware: Nokia Life XC
Artikel Nr.: 7200661548484

Wegen zusätzlichen Kosten anlässlich des Ausgleichs von Gebührenforderungen
erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 60.- Euro

Falls in den folgenden 7 Tagen der Gesamtbetrag nicht überwiesen wird, sehen
wir uns leider gezwungen, ein Gerichtsverfahren in die Wege zu leiten und
ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen.

Betrachten Sie dieses Mahnungsschreiben bitte als gegenstandslos, falls sich
dieses Mahnungsschreiben mit der Bezahlung des ausstehenden Betrags zeitlich
überschnitten haben sollte.

Anlagen:
- Rechnung
- Lieferschein

Mit freundlichen Grüßen

Hartmann GmbH
Billufer 57
Augsburg

Telefon: (0180) 533 0908713
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Bad Berneck
Umsatzsteuer-ID: DE547650961
Geschäftsfuehrer: Philipp Benen

Im Anhang ist ein ZIP-Archiv mit Namen wie:
Schreiben.zip
Daten.zip
Mahnung.zip

Code: Alles auswählenAufklappen

ATTFilter

SHA256:
d6c7369acac524c7865f6bae7a432338e973bf7d4623d6d3abd1b05a7c9344e7
 
SHA1:
202e5a1838944f0ba4917798ee807d4ac64309bf
 
MD5:
a1edd8a3ba3b44036e8250c319592483
         

Es gibt Hinweise darauf, dass der Backdoor Trojan.Win32.Bublik nachgeladen und instaliert wird.


Wichtig:
Archiv nicht öffnen.
Mail bitte an uns weiterleiten: http://markusg.trojaner-board.de


Bei Problemen:
PC vom Internet trennen und bitte hier von einem zweiten PC aus ein Thema erstellen um den PC zu bereinigen.

Hallo,

leider habe ich gestern auch so eine Mail bekommen. Der Text in der Mail war der gleiche wie hier angegeben, nur, dass ich 3 Kameras zu 750,-€ bestellt habe. Als Attachment "wichtig.zip". Avira hat dann "drop.injector.firp" entdeckt.

So, dann hatte ich heute sofort meinem Rechner in der Werkstatt. Da wurde der Trojaner nicht mehr gefunden.

Nun gerade habe ich Avira nochmals durchlaufen lassen und da hat er schon wieder was auf meinem Rechner gefunden diesmal TR/Dropper.Gen

Seit ich gegen 18:00 meinen Rechner angeschalten habe, wollen sich Spam-Mails über mehrere Mail-Accounts verteilen. Der eine Mail-Account befindet sich bei Alfahosting. Von da erhalte ich vom Vorfilder (DCC) in der Stunde um die 200 Mails zurück. Passwort ändern auf dem Server hat nichts gebracht. Fortlaufend flattern neue Mails ein. Der 2. Account liegt bei GMX, da dort der Vorfilder nicht so gut funktioniert, merke ich natürlich nicht in wie fern dieses Konto als Spamverteiler mißbraucht wird.

Der Support von Alfahosting läuft in diesem Fall mal Support sehr schleppend.

Das war jetzt ziemlich viel Text, ich hoffe ihr habt Lust es Euch durchzulesen und es fällt euch etwas hilfreiches ein. Ich brauche meinen Rechner zum arbeiten und pflege mehrer Websiten. Ehrlich gesagt habe ich auch Angst, dass ich solch schädliche Software nun an alle möglichen Leute verteile.

Danke,

Grit

@botany: du solltest unter "Plagegeister und deren Beseitigung" einen Thread aufmachen. Dein Post gehört nicht in diesen Thread.

@DaGuru: wäre nicht ein Hinweis dass beim Verschlüsselungstrojaner sobald man diesen erkennt der Rechner "notfalls mit Gewalt" so schnell wie möglich ausgeschaltet werden sollte hilfreich ? Je früher man den Trojaner beim Verschlüsseln unterbricht desto mehr Dateien sollten unverschlüsselt und damit rettbar vorliegen ...

@w-dackel: kann ich meinen Beitrag dahin verschieben? Ich poste hier zum 1. Mal

Hy botany , mach dort einfach ein neues Thema auf. Dann muss nicht extra verschoben werden.
Das ist denen auch lieber

ich habe ein neues Thema unter "Plagegeister ...." aufgemacht, es heißt:
"drop.injector.firp und TR/Dropper.Gen"

wir machen dafür, denke ich,noch ne meldung fertig, aber schon mal als kleine warnung, momentan wird spam im namen der Sex Kontakte AG verteilt
Sehr geehrter Nutzer x,
wir sind sehr Dankbar für Ihr Interesse an dem kostenpflichtigen Dienst von Sex Kontakte AG. Seit Ihrer Anmeldung am 16.06.2012 sind nunmehr zwei Wochen
verstrichen, ohne dass Sie schriftlich von Ihrem Widerrufsrecht Gebrauch gemacht haben. Wir sind sehr erfreut, dass unser Angebot Ihren Zuspruch gefunden
hat und erlauben uns, für die Bereitstellung und Erbringung unserer Dienstleistung das vereinbarte Nutzungsentgelt in Rechnung zu stellen.

Kundennummer: KCOUR-572098
Rechnungsnummer: UFXI45984-9532504037

12 Monate Mitgliedschaft: 550,81 EUR
Zeit: 15.06.2012 - 22.06.2013

Bitte übertragen Sie den Rechnungsbetrag bis zum 17.07.2012 unter Angabe des Verwendungszwecks DPPP92318-8428515507 an unser Bankkonto:

Kontoinhaber: Beck GmbH
Konto: 243360227
Bankleitzahl: 781 923 63

Wir bitten Sie den ausstehenden Rechnungsbetrag innerhalb der gennanten Frist zu überweisen,um die Entstehung zusätzlicher Mahnkosten zu vermeiden.

Beilagen:
- Rechnung
- Vertragsdaten

Ferner haben Sie uns gegenüber begläubigt, die diesem Vertrag zugrunde liegenden AGB gelesen und angenommen zu haben. Das Ihnen zustehende Widerrufsrecht
haben Sie gar nicht, nicht fristgerecht oder unwirksam ausgeübt.

Mit verbindlichen Grüßen dein Support

wer sowas bekommt, nicht öffnen, und an uns weiterleiten

http://www.trojaner-board.de/119467-...strojaner.html

das gute stück instaliert jetzt auch noch
Trojan.Win32.Bublik

Über die Bankverbindung musste es doch möglich sein, den Menschen der dahinter steckt ausfindig zu machen.

Zitat:

Zitat von Henry84

Über die Bankverbindung musste es doch möglich sein, den Menschen der dahinter steckt ausfindig zu machen.

Mal abgesehen davon, dass die Namen real existierender Firmen hier missbraucht werden, erkläre mir mal, welche Bank hinter der Bankleitzahl 781 923 63 stecken soll.
Dein Vorgeschlagener Weg führt ins Nirvana.
Außerdem ist für die Schurken der Mailinhalt nur Text. Keiner erwartet da eine Überweisung.
Ziel ist der Ucash-Code.

Volker

Hallo,

bei mir häufen sich seit zwei Wochen die Anfragen von Kunden die mit der neuen Version infiziert sind. Scheint nicht wirklich abzuebben, werde mir wohl eine VM aufsetzen und infizieren damit ich weiter experimentieren kann mit den Tools und Hinweisen die hier auftauchen zwecks Datenrettung.

Hallo gibt es mitlerweile ein Tool was die Daten entschlüsselt wie Exel, Word und Bilder Dateien?

mfg

Zitat:

Zitat von feuersturmnf

Hallo gibt es mitlerweile ein Tool was die Daten entschlüsselt wie Exel, Word und Bilder Dateien?

Ja, gibt es, dein Backuptool holt deine vorher regelmäßig gesicherten Daten aus dem letzten Backupset unverschlüsselt wieder raus!

SCNR

Sry aber meinst du nicht auch, bei so einer bahnbrechenden neuen Erkenntnis würde längst der fette Hinweise ganz oben im Trojaner-Board schon anders aussehen!?

Zur Not tuts auch ein Torrent Backup:

Daten packen, verschlüsseln, Datei umbenennen in "Brittni_Spiers_nackig.jpg" und ab ins Torrent-Netz damit.

So kann man die Daten in zig Jahren noch zurückholen.

Hallo Leute,

bei uns hat es auch einen PC erwischt, allerding fing es ein wenig anders an:
- Windows XP - nach anmelden in der Domäne - keine Desktopicons
- die üblichen Verdächtigen ausprobiert - nach Anmelden wird sofort der User wieder abgemeldet

OK, also nicht lange gefackelt, Rechner aus dem Image wiederherstellen, dauert 20 min und alles ist wieder schön - denkste! Nach Rückspielen der Daten aus dem Backup lässt sich keine Anwendungsdatei öffnen.

Die ersten 12287 bytes sind verändert. Ich lade mal 2 Sätze jpg Dateien hoch, evtl. hat noch jemand Lust den Algorithmus zu suchen.

Viele Grüße aus Berlin
Mario