![]() |
Neue Verschlüsselungs-Trojaner Variante im Umlauf Liste der Anhänge anzeigen (Anzahl: 1) Neue Verschlüsselungs-Trojaner Variante im Umlauf Nach analyse neuer Samples ist eine neue Variante des Verschlüsselungs-Trojaners aufgetaucht. Die Verschlüsselung scheint geändert worden zu sein. Wir halten euch auf dem laufenden, wie diese gerettet werden können. Die neue Variante ist bereits unter folgenden Versionsnummern aufgetaucht: Version 1.140.1 Dateien werden verschlüsselt Dateiname wird komplett geändert: C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\Blue hills.jpg C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\TxoXdJptaEoQUvpsnED C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\Sunset.jpg C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\UvTVeXquOelXALNtQeD Version 1.150.1 Dateien werden verschlüsselt keine Umbenennung mehr UPDATE: Eine Neuerung gibt es bei den SPAM-Mails die versendet werden. Der Trojaner befindet sich nun in einem mit Passwort gesichertem Archiv. Die Mails enthalten folgenden Abschitt: Zitat:
Version 2.00.11 http://www.trojaner-board.de/117117-...ner-2-0-a.html http://www.trojaner-board.de/attachm...1&d=1337107870 Der Trojaner versucht sich mit folgenden IPs zu verbinden: 59.108.115.113 polskamaskas.com 173.194.35.5 google.com 173.194.35.184 google.de ogutors-free.com ogutors-free.com/a.php polskamaskas.com/a.php spatbe-w.com/a.php qua-a.com/a.php horad-forum.com/a.php spatbe-web.com/a.php qua-acc.com/a.php horad-fo.com/a.php Zitat:
Der Trojaner sperrt den Rechner und hinterlässt auf dem Desktop eine Botschaft (bitte lesen.txt): Zitat:
Graphische Darstellung der Verschlüsselung (McAffee): http://blogs.mcafee.com/wp-content/u...2/05/blog6.jpg WICHTIG: Keine unbekannten Anhänge öffnen! Bei Befall, bitte Thema eröffnen und die Datei einsenden! http://www.trojaner-board.de/69886-a...-beachten.html |
Hallo. Ich hatte ja bereits unter den Posts http://www.trojaner-board.de/115006-...tml#post828670 und http://www.trojaner-board.de/115006-...tml#post828886 meine Erfahrungen mit dieser neuen Variante berichtet. Nun habe ich versucht, den Bösewicht nochmal zu aktivieren. Auf einer anderen XP-Installation sowie auf dem PC der bereits verseucht war, aber von mir schon bereinigt wurde. Auf beiden Rechnern wurde er zwar im System aktiviert, beim PC kam auch wieder die Meldung, beim Notebook kam keine Meldung, aber bei beiden waren die Registryeinträge da. Vor dem Aktivieren habe ich eine Verzeichnisstruktur mit Bildern (Bilder mit gleichem Inhalt sowie auch Bilder mit gleichem Namen und Kombinationen daraus) erstellt, die verschlüsselt werden sollte, um anschließend etwas über die Verschlüsselung zu erfahren. Jedoch wurde nichts mehr verschlüsselt, die Dateien sind noch im Original vorhanden. :confused: Da ich bisher keinen Netzwerksniffer laufen hatte, stelle ich mir die Frage, ob die Zieladressen, wo weitere Schädlinge nachgeladen werden, evtl. nicht erreichbar sind? Wenn jemand was neues weiss, bitte posten. Ich muss erst meine virtuelle Maschine neu aufsetzen. Michael |
hi du hast ne andere variannte, oder hat deine, bzw der dropper (installer) in den eigenschaften als datei typ .pif ? die kam erst gestern als mail bei mir an, ist also noch neu. weiterhin gilt, damit wir weiterhin schnell über so was berichten können: an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert. wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ: .eml einstellen. dann mail an: http://markusg.trojaner-board.de dort die soeben erstellte datei anhängen. wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen. sie können dann dorthin solche verdächtigen mails senden. diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig. |
Guten Morgen zusammen, ich bin ebenfalls von dieser neuen Variante des Verschlüsselungs-Trojaners betroffen. Ich bin bei GMX, wie kann ich die erforderlichen Daten zukommen lassen? Gruß MateriaMan |
Moin Zitat:
http://markusg.trojaner-board.de und/oder du lädst den Anhang nach dieser Anleitung hoch http://www.trojaner-board.de/54791-a...ner-board.html vielen Dank dafür MFG |
Hab dann auch mal wieder meine neuste Trojaner-Mail an Markus weitergeleitet. Interessant: Absender "wrslupus@web.de" und der Versandhandel macXperts Zitat:
Zitat:
|
Hallo Ich bin seit heute ebenfalls mit diesem Trojaner infiziert.. Wie kann ich die verseuchten Datein wieder herstellen??? |
Hallo, ich habe mich gerade infiziert :( Ich bin total unglücklich. Wie kann ich meine Dokumente wieder herstellen und den Trojaner vernichten ? (Ich kenne mich mit sowas nicht aus) Bitte um Hilfe !!! Ach ja das ist die Email: Sehr geehrte/r Kunde/Kundin, Vielen Dank für Ihren Vertrag mit teemarktplatz.de, nachfolgend finden Sie Ihre Bestellbestätigung. Deine Gebotsnummer: 031263883430 Artikel: BareBone 7453487975 5378,14 Euro Rechnungsname: Wie in Rechnungsdaten mitgeteilt Zahlungsmethode: Bankeinzug Versandadresse und detaillierte Vertragsdaten finden Sie aus Sicherheitsmaßnahmen in beigefügter Datei. Die Überweisung wurde autorisiert und wird innerhalb 4 Tage abgetragen. Artikeldetails und Widerspruch Mitteilung finden Sie im Anhang. Ihr Kundenberater Kraus GmbH Hermannstal 41 10501 München Telefon: (+49) 471 6618632 (Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr) Gesellschaftssitz ist Alzenau Umsatzsteuer-ID: DE100030436 Geschäftsfuehrer: Victoria Seidel |
Mail ist raus. Hoffe so bei der Lösung des Problems helfen zu können :party: Gruß MateriaMan |
@VannyJoan lies post 3, und sende mir die mail zu. nach welchem chema sind die verschlüsselten dateien benannt? sind sie umbenannt worden wie hier als beispiel angegeben. haben sie ein locked vor dem datei namen oder sind sie gar nicht umbenannt worden? |
Also wenn ich das Dokument öffne steht da i.was chinesisches und dann will ich auf Freigeben für, aber da ist ein Schloss und das ist bei "Niemand". |
ich möcht wissen, ob die datei umbenannt wurde, oder den original namen hatt, bzw wenn sie umbenannt wurden, wie. nen beispiel reicht |
Nein nein. Sie heißt noch wie immer. Nur der Inhalt ist halt weg. |
ok. wir warten hier leider noch auf infos, welche verschlüsselungs art genutzt wurde und ob es entschlüsselungsmöglichkeiten geben wird. wenn wieder solche mails eintreffen, bitte weiter leiten |
ich habe ebenfalls diesen Trojaner, habe schon mehrfach mit der spezial CD gebootet und die Logfiles erstellt. kann ich hier die mal eben posten irgendwie brauche ich wohl nun die Hilfe eines Menschn um das Scriptfile fix.txt zu erstellen, sehe ich das richtig ? wie kontrolliere ich ob meine OTLPE Version neu genug ist ? |
Alle Zeitangaben in WEZ +1. Es ist jetzt 10:00 Uhr. |
Copyright ©2000-2025, Trojaner-Board