|
Verschlüsselungstrojaner - neue Welle Verschlüsselungstrojaner - neue Welle Vermehrt wird wieder neuer SPAM mit einer neuen Version des Verschlüsselungstrojaners gesendet. Die genannten Firmen variieren in den SPAM Mails. Beispieltext: Zitat:
Schreiben.zip Daten.zip Mahnung.zip Code: SHA256:Wichtig: Archiv nicht öffnen. Mail bitte an uns weiterleiten: http://markusg.trojaner-board.de Bei Problemen: PC vom Internet trennen und bitte hier von einem zweiten PC aus ein Thema erstellen um den PC zu bereinigen. |
Hallo, leider habe ich gestern auch so eine Mail bekommen. Der Text in der Mail war der gleiche wie hier angegeben, nur, dass ich 3 Kameras zu 750,-€ bestellt habe. Als Attachment "wichtig.zip". Avira hat dann "drop.injector.firp" entdeckt. So, dann hatte ich heute sofort meinem Rechner in der Werkstatt. Da wurde der Trojaner nicht mehr gefunden. Nun gerade habe ich Avira nochmals durchlaufen lassen und da hat er schon wieder was auf meinem Rechner gefunden diesmal TR/Dropper.Gen Seit ich gegen 18:00 meinen Rechner angeschalten habe, wollen sich Spam-Mails über mehrere Mail-Accounts verteilen. Der eine Mail-Account befindet sich bei Alfahosting. Von da erhalte ich vom Vorfilder (DCC) in der Stunde um die 200 Mails zurück. Passwort ändern auf dem Server hat nichts gebracht. Fortlaufend flattern neue Mails ein. Der 2. Account liegt bei GMX, da dort der Vorfilder nicht so gut funktioniert, merke ich natürlich nicht in wie fern dieses Konto als Spamverteiler mißbraucht wird. Der Support von Alfahosting läuft in diesem Fall mal Support sehr schleppend. Das war jetzt ziemlich viel Text, ich hoffe ihr habt Lust es Euch durchzulesen und es fällt euch etwas hilfreiches ein. Ich brauche meinen Rechner zum arbeiten und pflege mehrer Websiten. Ehrlich gesagt habe ich auch Angst, dass ich solch schädliche Software nun an alle möglichen Leute verteile. Danke, Grit |
@botany: du solltest unter "Plagegeister und deren Beseitigung" einen Thread aufmachen. Dein Post gehört nicht in diesen Thread. @DaGuru: wäre nicht ein Hinweis dass beim Verschlüsselungstrojaner sobald man diesen erkennt der Rechner "notfalls mit Gewalt" so schnell wie möglich ausgeschaltet werden sollte hilfreich ? Je früher man den Trojaner beim Verschlüsseln unterbricht desto mehr Dateien sollten unverschlüsselt und damit rettbar vorliegen ... |
@w-dackel: kann ich meinen Beitrag dahin verschieben? Ich poste hier zum 1. Mal |
Hy botany , mach dort einfach ein neues Thema auf. Dann muss nicht extra verschoben werden. Das ist denen auch lieber;) |
ich habe ein neues Thema unter "Plagegeister ...." aufgemacht, es heißt: "drop.injector.firp und TR/Dropper.Gen" |
wir machen dafür, denke ich,noch ne meldung fertig, aber schon mal als kleine warnung, momentan wird spam im namen der Sex Kontakte AG verteilt Sehr geehrter Nutzer x, wir sind sehr Dankbar für Ihr Interesse an dem kostenpflichtigen Dienst von Sex Kontakte AG. Seit Ihrer Anmeldung am 16.06.2012 sind nunmehr zwei Wochen verstrichen, ohne dass Sie schriftlich von Ihrem Widerrufsrecht Gebrauch gemacht haben. Wir sind sehr erfreut, dass unser Angebot Ihren Zuspruch gefunden hat und erlauben uns, für die Bereitstellung und Erbringung unserer Dienstleistung das vereinbarte Nutzungsentgelt in Rechnung zu stellen. Kundennummer: KCOUR-572098 Rechnungsnummer: UFXI45984-9532504037 12 Monate Mitgliedschaft: 550,81 EUR Zeit: 15.06.2012 - 22.06.2013 Bitte übertragen Sie den Rechnungsbetrag bis zum 17.07.2012 unter Angabe des Verwendungszwecks DPPP92318-8428515507 an unser Bankkonto: Kontoinhaber: Beck GmbH Konto: 243360227 Bankleitzahl: 781 923 63 Wir bitten Sie den ausstehenden Rechnungsbetrag innerhalb der gennanten Frist zu überweisen,um die Entstehung zusätzlicher Mahnkosten zu vermeiden. Beilagen: - Rechnung - Vertragsdaten Ferner haben Sie uns gegenüber begläubigt, die diesem Vertrag zugrunde liegenden AGB gelesen und angenommen zu haben. Das Ihnen zustehende Widerrufsrecht haben Sie gar nicht, nicht fristgerecht oder unwirksam ausgeübt. Mit verbindlichen Grüßen dein Support wer sowas bekommt, nicht öffnen, und an uns weiterleiten http://www.trojaner-board.de/119467-...strojaner.html |
das gute stück instaliert jetzt auch noch Trojan.Win32.Bublik |
Über die Bankverbindung musste es doch möglich sein, den Menschen der dahinter steckt ausfindig zu machen. |
Zitat:
Dein Vorgeschlagener Weg führt ins Nirvana. Außerdem ist für die Schurken der Mailinhalt nur Text. Keiner erwartet da eine Überweisung. Ziel ist der Ucash-Code. Volker |
Hallo, bei mir häufen sich seit zwei Wochen die Anfragen von Kunden die mit der neuen Version infiziert sind. Scheint nicht wirklich abzuebben, werde mir wohl eine VM aufsetzen und infizieren damit ich weiter experimentieren kann mit den Tools und Hinweisen die hier auftauchen zwecks Datenrettung. |
Gibt es eigentlich schon Meldungen zu Drive-By-Versionen ? Ich hatte mir auch einen UKash eingefangen, aber nicht durch eine Mail oder einen (bewußten) Download, sondern auf einer großen, harmlosen Seite - vermutlich durch einen infizierten Flashbanner. Da sie bekannt war, waren die Einstellungen für NoScript zu locker. |
moin moin Piglet, der Virus hat aber nix verschlüsselt, oder? Es gibt ja nicht nur Verschlüsseler unter der Ransomware. Mir ist noch keine Drive-by Infektion mit dem Verschlüsselungstrojaner bekannt, was aber nichts heißen soll, denn auch der wird weiter entwickelt. Volker |
Moin Undertaker, es sah so aus, als wenn er gestört wurde. Avira fand und blockierte eine unlocker.dll, die er als "Agent.ewu 1" identifiziert hat. Der Teil, der durchkam, wurde von MBAM als "Trojan.Agent.RNSGen" bezeichnet. Ich wünschte, die Jungs würden ihre Kreativität zu guten Zwecken einsetzen... |
Ich dachte es wäre ruhe aber es geht weiter... Zitat:
Ist heute eingetroffen die Mail ! Schade kann die nicht als .eml speichern :confused: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:16 Uhr. |
Copyright ©2000-2025, Trojaner-Board