Doctor Web - Tool gegen Trojan.Matsnu.1

Am 26. April 2012 wurden die Anwender über die Verbreitung von Spam-Mails mit einem gefährlichen Anhang informiert. Die Benutzerdateien werden verschlüsselt, sobald eine angehängte ausführbare Datei gestartet wurde. Die Sicherheitsspezialisten von Doctor Web präsentieren ein Tool, mit dem die Anwender ihre Dateien entschlüsseln können. Das Tool ist als matsnu1decrypt.zip (Mirror) verfügbar.

Die verbreiteten Massen-Mails sind auf Deutsch geschrieben und haben den Betreff „<Vorname> <Nachname> Vertrag Nr 46972057“. Diese E-Mail enthält eine ZIP-Datei mir dem Namen Abrechnung oder Rechnung. Sobald das Opfer die Datei gestartet hat, werden seine Dateien verschlüsselt.

Zitat:

Sehr geehrte(r) <Vorname> <Nachname>,

Sie haben sich für unseren Mail Upgrade eingetragen und wir freuen uns Sie als unseren frischen Teilnehmer zu begrüssen Sie können jetzt bis zu 500 Mitteilungen pro Monat frei versenden und Ihr Speicherplatz erhöht sich um 5 Gb.

433,29 Euro für Registration werden Ihnen pro 12 Monate im Vorraus von Ihrem Bankkonto abgeschrieben. Entnehmen Sie die Rechnungsdaten bitte dem Anhang, dort finden Sie auch die Erläuterung für Ihre 2 Wochen Kündigungsfrist.

Mit freudlichen Grüssen
Ihr Kundenservice

Weitere Informationen Trojan.Matsnu.1.


Nach Anwendung des Skriptes, erstelle ein Thema hier im Forum: Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Hallo allerseits,

Zu dieser Meldung gibt es eine korrigierte Version; die Korrektur betrifft Betreff und Anrede in den versendeten E-Mails:

Hanau, 27. April 2012 – Doctor Web, führender russischer Hersteller von Antivirus- und Antispam-Lösungen, warnt vor böswilligen Spam-Mails über die sich Trojan.Encoder verbreitet.

Während der letzten 24 Stunden haben vor allem deutsche PC-Anwender den technischen Support von Doctor Web wegen gefährlicher Spam-Mails kontaktiert. Die E-Mails können in der Anrede personalisiert sein und wenden sich beispielsweise mit folgendem Betreff und Inhalt an den Empfänger:

Betreff: „<Vorname> <Nachname> Vertrag Nr 46972057“

Sehr geehrte(r) <Vorname> <Nachname>,

Sie haben sich für unseren Mail Upgrade eingetragen und wir freuen uns Sie als unseren frischen Teilnehmer zu begrüssen Sie können jetzt bis zu 500 Mitteilungen pro Monat frei versenden und Ihr Speicherplatz erhöht sich um 5 Gb.

433,29 Euro für Registration werden Ihnen pro 12 Monate im Vorraus von Ihrem Bankkonto abgeschrieben. Entnehmen Sie die Rechnungsdaten bitte dem Anhang, dort finden Sie auch die Erläuterung für Ihre 2 Wochen Kündigungsfrist.

Mit freudlichen Grüssen

Ihr Kundenservice

... Betreff, Anrede und kleinere Textdetails in den E-Mails können also variieren. Ansonsten alles korrekt

Anwendungshinweise für unser Tool gibt bei Bedarf gern auch der deutsche Support unter support@drweb-av.de.

Hallo,
vor kurzem habe ich auch eine Mail bekommen das ich bei dem betreffenden Shop eingekauft habe, die Mail werde ich umgehen löschen und natürlich den Anhang (als .zip datei getarnt) auf gar keinen Fall öffnen. Die Mail schaut so aus:
Verehrte(r) Hugo Egon Maurer,

vielen Dank für Ihre Bestellung bei comtech.de, nachfolgend finden Sie Ihre Bestellbestätigung.

Deine Bestellnummer 22860541010
Artikel: Toshiba 5076334942 717,07 Euro
Rechnungsname: Hugo Egon Maurer
Zahlungsmethode: Lastschrift

Versandadresse und detaillierte Vertragsdetails finden Sie im Anhang.

Die Zahlung wurde autorisiert und wird innerhalb 2 Tage abgeschrieben.
Bezahldetails und Widerruf Möglichkeiten finden Sie in Beilage.


Ihr Mail-Support

Kudox GmbH
Audorfring 59
60086 Augsburg

Telefon: (+49) 020 6974535
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Essen
Umsatzsteuer-ID: DE434230977
Geschäftsfuehrer: John Voigt

Gruß
Hugo

hi,
solche mails können interessant sein für weitere analysen.
bitte, wenn ihr solche mails von unbekannten absendern mit .rar oder zip anhang (häufigst vorkommene anhänge) bekommt, dann öffnen, datei speichern unter, typ zb
.eml
dann mail an:
markusg@paules-pc-forum
dort das soeben abgespeicherte anhängen.
bei einem webmailer funktioniert das immer ein wenig anders, da müsste man wissen um welchen es sich handelt.
das bloße öffnen der mail infiziert in diesem falle nicht das system.

Hi hugo1970,

danke für deine Beispielmail, die zeigt, dass es auch noch weitere mögliche Texte gibt und geben wird...und dass man deshalb generell vorsichtig sein sollte bei E-Mail-Anhängen (besonders im Falle unbekannter Absender).

Das Fiese an dieser Masche finde ich, dass Panik erzeugt wird (Angst vor Geldverlust) und man, selbst wenn man von einem Betrug ausgeht, oft noch einen Restzweifel im Hinterkopf hat. Im Zweifelsfall könnte man ja, sofern eine Firma (wie bei dir comtech) gennant ist, dort nachfragen, ob alles mit rechten Dingen zugeht. Und wenn keine genannt ist kann man sich ja schon denken, was los ist

Ansonsten kann ich markus nur zustimmen: Jeder Anhang kann ein neues, bisher unerkanntes Sample sein. Auch bei uns von Doctor Web (wie auch bei jedem anderen AV-Hersteller) gibt es die Möglichkeit, Samples einzusenden und damit nicht nur was Gutes für sich selbst, sondern auch für andere Nutzer zu tun

zumal sie jetzt:
1. neue mail texte verwenden.
2. seit heute eine höhere routation von samples haben.
sonst gab es 1 neues pro tag, was das infektionsrisiko bei regelmäßigem update gegen abend meist sehr stark verringern sollte, heute habe ich bereits 3 samples.
deswegen ists wichtig, dass wir so viele mails wie möglich bekommen.
und natürlich bekommen alle av-hersteller die samples von mir umgehend zugesendet.

hallo,
es ist, leider, so weit.
es gibt jetzt variannten, bei denen die entschlüsselung anhand von paaren nicht mehr funktionieren wird.

wichtiger hinweis:
entschlüsselt nur anhand von backups und meldet euch bei problemen.


an einer lösung wird gearbeitet.

Herzlichen Dank. matsnu1decrypt funktioniert offenbar prima. Pooh...so konnte ich meine Frau mal wieder retten!! Hoffentlich geht sie jetzt etwas vorsichtiger mit Emailanhängen von unbekannten Absendern um

Hallo,

Hatte die neue Version das Matsnu1 auf dem PC. Konnte diesen per OTL entfernen. Habe gerade mit matsnu1decrypt ca. 1900 Dateien entschlüsselt bekommen. Leider mit dem Ergebniss, das in allen Dateinen nun nur noch Müll drin steht, bzw. ich diese nicht mehr öffnen kann. Werde den PC nun wahrscheunlich komplett neu aufsetzen müssen... Also VORSICHT !

hi, deswegen entschlüsselt man ja auch an backups.
hast du die verschlüsselten files noch?
kommst du noch an die mail über die du dich infiziert hast, leite die mal an mich weiter wie im post 4 beschrieben.