Der Beitrag
http://www.trojaner-board.de/93526-u...-trojaner.html und der Beitrag
http://www.trojaner-board.de/93356-t...ich-jetzt.html beziehen sich auf den gleichen Virus. Das Teil tarnt sich wohl mit verschiedenen Namen von System-Dateien (bei uns als mmplayer.exe) und wird zu einem bestimmten Termin scheinbar "wach" (hier 6.12. 12 Uhr). Es werden persönliche Daten (Bilder, docs, Videos, etc.) verschlüsselt und es erscheint die genannte Textnachricht. Es sollen 120$ gezahlt werden um die Daten wieder zu entschlüsseln. Wenn der Virus noch nicht aktiv war, mit antivir in die Quarantäne und dann auch löschen! Wenn schon aktiv gewesen auch so verfahren, aber sicherheitshalber noch lesbare Daten (nicht Programme) sichern und Platte formatieren, weil sich eventuell noch irgendein Löschprogramm etabliert hat. Diese Attacke ist dem LKA hier noch unbekannt gewesen. Die angegebene Mailadresse geht über einen israelitischen Server mit anonymen Mailaccounts ... Wir vermuten auf Grund verschiedener Hinweise, dass die Infektion über die Lücke des älteren AcroReaders erfolgen konnte (?) ein Java einer Web-Site könnte es auch gewesen sein (?)
07.12.2010, 14:44
Baum-Darstellung