Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Mülltonne (https://www.trojaner-board.de/muelltonne/)
-   -   (xpost) neuer Verschlüsselungstrojaner mit teils unveränderten aber trotzdem verschlüsselten Dateien (https://www.trojaner-board.de/116262-xpost-neuer-verschluesselungstrojaner-teils-unveraenderten-trotzdem-verschluesselten-dateien.html)

Shigg 02.06.2012 09:21
(xpost) neuer Verschlüsselungstrojaner mit teils unveränderten aber trotzdem verschlüsselten Dateien
 
Hallo,

ich habe mir seit gestern ebenfalls einen dieser Verschlüsselungstrojaner eingefangen. Bevor ich überhaupt auf die Idee kam hier im Forum nach Lösungen zu suchen, ließ ich Malwarebytes rüberlaufen (die logs finden sich unten) und habe entgegen der Empfehlungen hier die Funde gelöscht (siehe auch in den Logs).
Auf meinem Desktop wurde außerdem eine .txt Datei erstellt die folgendermaßen aussieht und "ACHTUNG-LESEN" heißt:
"Sehr geehrte Damen und Herren,
anscheinend wurde das Update Programm vollständig unterbrochen. Jetzt kann das Virus nur manuell beseitigt werden. Dies brauchen Sie um Ihre Dateien benutzen zu können. Falls Sie also die gesperrten Daten brauchen, senden Sie uns bitte 200 Euro Ukash Code an die Email: security-center@inbox.lt, so bald dieser Code geprüft wurde, erhalten Sie ein Update Programm. Falls Sie Ihre Daten nicht brauchen raten wir Ihnen dringend Ihren Computer zu formatieren um den Virus vollständig zu entfernen. Ukash können Sie an einer beliebigen Tankstelle erwerben und auch in mehreren Internetcafes in Ihrer Nähe.
mfG Ihr Security Team"

Heute morgen habe ich dann nochmals Malewarebytes drüberlaufen lassen und es wurden wieder 2 Funde gefunden, die ich ebenfalls gelöscht habe.

Das besondere an dem Verschlüsselungstrojaner, den ich hier habe, ist, dass nahezu sämtliche Daten (wie in den übrigen Threads beschrieben) beispielsweise so aussehen: ApevGfAtngeJarDu. Daneben jedoch sind alle Dateien, die auf dem Desktop oder in Ordnern auf dem Desktop waren scheinbar unverändert. Trotzdem lassen sich diese Dateien ebenfalls nicht öffnen.

Die Mail, mit der ich mich infiziert habe, kam von "Flirt-Fever" und ich sollte für eine Mitgliedschaft zahlen, die ich nie abgeschlossen hatte. Der Anhang war als Zip-Datei und hieß "Mahnbescheid".

Jetzt stellen sich für mich zwei Fragen:
1. Inwieweit ist mein PC noch infiziert? Kann ich bedenkenlos meinen PC für beispielsweise Online Banking verwenden oder auch daran arbeiten ohne,dass neu erstellte Dokumente ebenfalls verändert werden?

2. Wie kann ich meine Daten wieder entschlüsseln?
So wie ich das im Forum bisher überblicken kann, scheint erstmal abwarten angesagt zu sein. Allerdings ist es schon verwunderlich, dass sich alle Daten, die irgendwie auf dem Desktop waren trotz scheinbarer Unveränderung nicht öffnen lassen.

Danke und großes Lob an alle hier im Forum, die hier wirklich versuchen zu helfen.
Shig

cosinus 03.06.2012 15:38
Zitat:
und habe entgegen der Empfehlungen hier die Funde gelöscht (siehe auch in den Logs).
Wieso entgegen der Empfehlung? Mit Malwarebytes sollen die Funde immer entfernt werden.
Malwarebytes entfernt die auch nicht endgültig, sondern steckt sie in die Quarantäne damit man nochmal ran kann! Das ist das Verfahren was wir anwenden, so auch andere Tools wie OTL oder Combofix löschen nichts endgültig sondern packen alles in ein Q-Verzeichnis wie _OTL/MovedFiles oder Qoobox!

Zitat:
Heute morgen habe ich dann nochmals Malewarebytes drüberlaufen lassen und es wurden wieder 2 Funde gefunden, die ich ebenfalls gelöscht habe.
Würdest du dann auch bitte alle Logs von Malwarebytes posten? Zu jedem Scan erstellt MBAM ein Log!

Zitat:
So wie ich das im Forum bisher überblicken kann, scheint erstmal abwarten angesagt zu sein
Vorweg auch nochmal als Hinweis:
Wann genau deine Daten entschlüsselt werden können wird dir niemand genau sagen können außer vllt einer :glaskugel: es kann sein, dass du eine neuere Variante hast, deren Verschlüsselungsalgorithmus noch unbekannt ist. Sowas kann man (noch) nicht entschlüsseln und ohne Schlüssel schon garnicht - ist ja auch logisch, sonst wär es ja keine vernünftige Verschlüsselung
Einfach hier nochmal reinsehen in regelmäßigen Abständen, obige Hinweise beachten. 8 Tools mitsamt hunderten Diskussionsbeiträgen stehen da schon

Entschlüsselungsversuche der verschlüsselten Dateien sind nur auf zusätzliche Kopien der verschlüsselten Dateien anzuwenden, sonst zerhackt man sich die noch weiter ohne die "original" verschlüsselte Datei mehr zu haben. Das willst du sicher nicht!

Und in Zukunft willst du sicher mal an ein besseres Backupkonzept denken. Hier ein Denkanstoß => http://www.trojaner-board.de/115678-...r-backups.html

Zitat:
Jetzt stellen sich für mich zwei Fragen:
1. Inwieweit ist mein PC noch infiziert?
Ohne Logs kann man diese Frage nicht sinnvoll beantworten außer vllt: man muss davon ausgehen, dass dein System noch nicht sauber ist, da weder eine genaue Analyse noch eine gründliche Reinigung erfolgte.

Zitat:
Allerdings ist es schon verwunderlich, dass sich alle Daten, die irgendwie auf dem Desktop waren trotz scheinbarer Unveränderung nicht öffnen lassen.
Soviel zum Thema "scheinbare" Veränderungen :D

Shigg 06.06.2012 20:54
Hallo Arne,

erstmal danke für deine Antwort. Da ich Crosspostings vermeiden will und ich Hilfe in einem anderen Forum gefunden habe, kann man den Thread als geschlossen ansehen.

trotzdem danke und Hut ab vor eurem Commitment.

lg, shig

cosinus 07.06.2012 14:31
Crossposting dieser Strang? => Neuer Verschlüsselungstrojaner durch Flirt-Fever Email


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:25 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19