Hallo,

nun hat es auch mich erwischt und leider hat der Ukash Trojaner nicht nur meine Dateien auf der Hauptfestplatte geschrottet sondern auch noch die bei der angesteckten USB Backup Festplatte.

Der verschlüsselungstrojaner hat am Anfang der Datei gewütet. Mit den Entschlüsselungsprogrammen kann ich leider nichts reparieren.

Vielleicht habt ihr ja eine Idee

Dort eine Original und eine Verschlüsselte
hxxp://www.file-upload.net/download-6637796/ukash.zip.html


Der Trojaner war zudem so gemein, dass er die berühmten Windows Bilder Ordner nicht angerührt hat so war es super schwer eine unberührte zu finden die einen verschlüsselten Bruder hat.



Den verseuchten Computer hab ich nicht mehr aktiv. Festplatte ausgebaut und darüber über einen zweitPC den Schaden kurz begutachtet. Computer hat XP Pro installiert.

Wozu haben wir die Hinweise oben? Da steht doch oben alles!

Eine Entschlüsselung ist unwahrscheinlich bis unmöglich!

Zitat:

3. Bei Dateien wie locked-<DATEINAME>.<ENDUNG>.wxyz entschlüsseln:Übersicht der 8 Entschlüsselungs-Tools
ansonsten Daten retten / Daten wiederherstellen: Daten retten nach Verschlüsselungstrojaner

Wenn das keine einfache Verschlüsselung mit "locked-" im Dateinamen ist, sollte man sich um Datenrettung und nicht um Entschlüsselung kümmern!
Wenn Vista oder Win7 im Einsatz sind, den ShadowExplorer testen! Aber keine unnötige Zeit mit Entschlüsselungsversuchen verschwenden

Und in Zukunft willst du sicher mal an ein besseres Backupkonzept denken. Hier ein Denkanstoß => http://www.trojaner-board.de/115678-...r-backups.html

Bei der Flut an Beiträgen war die Hoffnung da dass es vielleicht dafür eine Lösung gibt. Scheint aber leider nicht der Fall zu sein.

Über einen Emailanhang ist der Mist reingekommen.

Nebenschwachstelle war wohl Java... in dessen Cache Ordner hat Antivir viel gefunden und die EXE Datei wird bei Virustotal gerade mal von 5 Virenkiller erkannt... bzw. die identische Datei wurde heute früh um 9 von jemand anderem dort schon hochgeladen wo nur 3 Virenkiller diesen als gefährlich erkannten. Die wurde von Antivir nicht erkannt sondern bisher nur von Malewarebytes.

Ist wohl was super neues.

Zitat:

Ist wohl was super neues.

Ja sieht man ja auch so dolle an den nicht geposteten Malwarebytes- und Virenscanner-Logs

Da hast mehr falls interesse.

hxxp://www.file-upload.net/download-6638439/ukashneu_verseucht.7z.html


Passwort lautet: virus

Enthält die bösen Dateien sowie zwei Screenshots von Virus Total und dem Antivir Logfile sowie dessen Quarantäne.


Groß das System säuern will ich nicht. Die Outlook Express Dateien soweit es geht noch retten und dann mach ich die Kiste komplett platt. Die vielen Doc, PDF und JPG... viele davon waren zu klein um daraus noch mit den Restdaten etwas extrahieren zu können.

Nun von der 80GB Platte hab ich noch ein Sektor by Sektor Image erstellt falls man später einmal irgend etwas noch retten können sollte. Hab aber nicht wirklich große Hoffnung mehr.

Und watt soll ich da anklicken?

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Den Downloadlink inzwischen repariert.

Hilfestellung beim säubern des Systems brauch ich nicht. Dafür um so mehr beim entschlüsseln der zerstörten Dateien... aber was ich so über den Abend gelesen habe kann man das entschlüsseln derzeit vergessen und nur mit Datenrettungsprogrammen herumwursteln mit eher schlechten Erfolg zumindest bei den kleinen Word Dateien.

Die nachträglichen Virenscanns sind allenfalls ein Gag zum schauen was die so finden. Für eine "garantierte" Rootkitfreiheit ist ohnehin die Low Level Formatierung und Neuinstallation des OS pflicht. Ein Sector Image hab ich zuvor noch erstellt falls man mittelfristig diese Dateien wieder entschlüsseln kann. Mehr kann ich nicht machen, außer noch paranoider mit dem Computer umgehen.

Ist schon interessant wenn man die Aktivität des Trojaners so halbwegs nachverfoglt.

16:16:26 der Anhang Mahnung.zip wird auf die Festplatte kopiert und geöffnet
16:16:56 Windows legt dazu eine PF Datei an.
16:17:06 Im Benutzerprofil unter Anwendungsdaten taucht eine 66kb große EXE Datei auf
16:17:50 Im Benutzerprofil wird ein Ordner mit Zufallszahlen erstellt und da eine EXE angelegt die 77kb groß ist.

Es erfolgen änderungen an der Windows Regestry und bei den Treibern. Windows erstellt scheinbar einen Systemwiederherstellungspunkt.

16:18:16 Im Benutzerprofil im Temp Ordner wird eine $$0 Datei mit 700kb Größe erstellt, die nur wirre Zeichen enthält

16:24:56 Im Benutzerprofil im Temp Ordner wird eine $02 Datei erstellt die runde 3,4MB groß ist. Enthält auch nur wirre Zeichen

zum selben Zeitpunkt wird eine Datei $03 von der Platte gelöscht die 2,7MB groß ist und auch nur wirre Zeichen enthält.

16:25 Trojaner beginnt bei den MS-Word Vorlagen die Dateien zu verändern und macht dann bei den Eigenen Bildern weiter.

Wann da genau der Bildschirm gesperrt wurde, keine Ahnung. Jedenfalls konnte er bis 16:43 weiter wüten bis der Computer einfach abgeschaltet wurde.

Ist schon interessant wenn man die Aktivität des Trojaners so halbwegs nachverfoglt.

16:16:26 der Anhang Mahnung.zip wird auf die Festplatte kopiert und geöffnet
16:16:56 Windows legt dazu eine PF Datei an.
16:17:06 Im Benutzerprofil unter Anwendungsdaten taucht eine 66kb große EXE Datei auf
16:17:50 Im Benutzerprofil wird ein Ordner mit Zufallszahlen erstellt und da eine EXE angelegt die 77kb groß ist.

Es erfolgen änderungen an der Windows Regestry und bei den Treibern. Windows erstellt scheinbar einen Systemwiederherstellungspunkt.

16:18:16 Im Benutzerprofil im Temp Ordner wird eine $$0 Datei mit 700kb Größe erstellt, die nur wirre Zeichen enthält

16:24:56 Im Benutzerprofil im Temp Ordner wird eine $02 Datei erstellt die runde 3,4MB groß ist. Enthält auch nur wirre Zeichen

zum selben Zeitpunkt wird eine Datei $03 von der Platte gelöscht die 2,7MB groß ist und auch nur wirre Zeichen enthält.

16:25 Trojaner beginnt bei den MS-Word Vorlagen die Dateien zu verändern und macht dann bei den Eigenen Bildern weiter.

Wann da genau der Bildschirm gesperrt wurde, keine Ahnung. Jedenfalls konnte er bis 16:43 weiter wüten bis der Computer einfach abgeschaltet wurde.

Zitat:

Für eine "garantierte" Rootkitfreiheit ist ohnehin die Low Level Formatierung

Mal wieder das Märchen mit der LowLevelFormatierung, was auch immer darunter verstanden wird
Partitionen löschen und neu anlegen reicht, der MBR wird bei der Neuinstallation auch neu geschrieben

Märchen haben für Kinder erzieherische Funktionen. :-D

Als LowLevelFormatierung wird bei mir die ewig Zeitfressende Löschung der Festplatte mit den Diagnose Tools des Festplattenherstellers bezeichnet ;-)

Wer schon mal mehrere unterschiedliche Betriebsysteme installiert hat ( Microsoft und Linux ) weiß wie hartnäckig sich manch MBR halten kann.

================================

Noch was anderes... es ist zum teil witzig wie selektiv der Ukash Trojaner vorgeht. Er verschlüsselt alles mögliche z.B. im Firefox Profil aber die Bookmarks verschont er, die Backups der Bookmarks nicht.

Bei C:\Dokumente und Einstellungen\#BENUTZERNAME#\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch verschlüsselt er das "Desktop Anzeigen Symbol"

Zitat:

Wer schon mal mehrere unterschiedliche Betriebsysteme installiert hat ( Microsoft und Linux ) weiß wie hartnäckig sich manch MBR halten kann.

Sry das hört sich aber ziemlich nach Halbwissen an. Wenn du wüsstest welche "Dimensionen" der MBR hat und wo er auf der Platte liegt, dann wüsstest du auch wie überflüssig ein LLF mit dem Ziel ist den MBR zu killen

Zitat:

Zitat von cosinus

Sry das hört sich aber ziemlich nach Halbwissen an. Wenn du wüsstest welche "Dimensionen" der MBR hat und wo er auf der Platte liegt, dann wüsstest du auch wie überflüssig ein LLF mit dem Ziel ist den MBR zu killen

Ist ja egal nach was es sich anhört, solange es zum Ziel geführt hat und nebenbei die Festplatte auf defekte Sektoren noch getestet wurde.

Der MBR ist zu DOS Zeiten glaub ich nur 512bytes groß gewesen :-))

Zitat:

Der MBR ist zu DOS Zeiten glaub ich nur 512bytes groß gewesen :-))

Nicht nur zu DOS-Zeiten
MBR überschreiben hätte es auch getan

Zitat:

geführt hat und nebenbei die Festplatte auf defekte Sektoren noch getestet wurde.

Die Firmware moderner Platten blendet defekte Sektoren automatisch aus
KEINE Platte (auch neue nicht!) haben zu 100% intakte Sektoren. Es sind immer fehlerhafte da, deswegen hat auch jede Platte einen Reservebereich
Findet die Firmware einen fehlhaften Sektor, wo wird dieser ausgeblendet und als Ersatz einer aus dem Reservebereich genommen

Zitat:

Findet die Firmware einen fehlhaften Sektor, wo wird dieser ausgeblendet und als Ersatz einer aus dem Reservebereich genommen

und wenn die Firmware gut ist, meldet sie das brav dem SMART und der Zähler bei Wiederzugewiesene Sektoren steigt um +X ;-)


---------------------------------------------

Mit der Ontrack EasyRecovery kommt man bei den zerstörten Dateien größer als 12kb auch nicht weiter. Die einzigen Bilder die prima wieder zum Vorschein gebracht werden können, sind gelöschte Bilder vom Browser-Cache.