guten morgen,

heute nacht erhielt ich folgende nachricht:
Twitter believes that your account may have been compromised by a website or service not associated with Twitter. We've reset your password to prevent others from accessing your account.

im spam habe ich dieselbe mail vom 17.05.2012 entdeckt, kann von dort etwas kommen?

datenrettung habe ich inzwischen aufgegeben - neuanfang (übt gut )
liebe grüsse
monika

Hallo und guten Morgen zusammen, ich habe gerade eine wahrscheinlich wichtige Info von einen Systemadministrator bekommen. Er hat auch schon 5 Geräte gehabt und hätte den Schlüssel z.b in der readme.txt.xxxx gefunden. Diese hätte er dann mit einem Programm Names RANDOM mit der Orginal der readme.txt irgendwie ausgelesen und so die Dateien später mit zwei Programm *wollte er mir noch sagen* entschlüsselt. So nun seit ihr Spezialisten dran, ich habe dazu wenig Ahnung. Viel Glück bzw. ich bleibe bei meinem SysAdmin an Ball

LG
Loewe_68

@benton18
genug denke ich, das gescheft mit ransomware bring millionen, und bei verschlüsselung steigt der druck noch mehr.
@was_ein_mist
eröffne ein thema im passenden unterforum bitte
@zAUBERWOLF
für dich gilt das selbe, thema eröffnen, dann können wir uns den pc ansehen.
@golldy
die neue mal weiterleiten an mich
@loewe_68
deine info ist nicht grad aussagekräftig, bitte noch mal wenn du alles zusammen hast posten

Hello

Einen meiner Kunden hat's ebenso erwischt. Alle Fotos haben nun einen cryptischen Namen (wie bei Version 1.140.1). Wenn ich allerdings auf eine Datei einen Rechtsklick mache, und "Öffnen" wähle, dann die "Windows-Fotoanzeige" wähle, lässt sich das Foto öffnen.

Grüße

wuschelchen

kommst du an die infektionsquelle?
sinds denn viele fotos, evtl. reicht hier ja schon das umbenennen per hand

Zitat:

Zitat von markusg

@benton18
genug denke ich, das gescheft mit ransomware bring millionen, und bei verschlüsselung steigt der druck noch mehr.
@was_ein_mist
eröffne ein thema im passenden unterforum bitte
@zAUBERWOLF
für dich gilt das selbe, thema eröffnen, dann können wir uns den pc ansehen.
@golldy
die neue mal weiterleiten an mich
@loewe_68
deine info ist nicht grad aussagekräftig, bitte noch mal wenn du alles zusammen hast posten

@markusg
ich werde es versuchen aber wie bereits erwähnt ich bin nicht der Techniker. Was ich bis jetzt weiß man soll wenn man wieder auf Betriebssystem, auf dem betroffenden Rechner, kommt nach einer .txt Datei die am Anfang hyroglüfen hat dann .txt und am Ende nochmal Hyroglüfen hier mal ein Beispiel abc123hh.txt.w34n das soll wohl die Datei sein wo sich der Schlüssel zum entschlüsseln befindet. Dann gibt es also noch die Orginal Readme.txt und die müßen über ein sogenanntes Random Programm gejagt werden das der Schlüssel wohl ausgelesen werden kann. Den Rest macht er dann mit einem Entschlüsselungsprogramm *was er wenn er wieder vom Aussendienst zurück ist* noch nennen wollte. Nochmals ich bin hier leider kein Profi wie Ihr und kann es nur so mit meinen Erklärungen versuchen zu erklären. Die Profis wie ihr könnt doch da bestimmt was mit anfangen. Ich wollte nur schon Info geben.

LG
Loewe-68

hat denn hier schon wer erfolg gehabt bei der neuen variante (afasfasfasfjahslkfdLUHSDF) bilder umzubennenen? Also wenn ich hinten dran .jpg mache, kann ich das file nicht öffnen, nur bei einigen mp3s ging dass bisher, excel und word geht auch ned, da ist dann nur kryptisches zu lesen im Word oder Excel.

Bez AES256, ich denke nicht dass es diese verschlüsselung ist, weil wie hätte der trojaner in so kurzer zeit derartviele Files verschlüsseln können, bei mir sind es seeehr seehr viele, und ich war ca 10 min afk, als ich das erste mal die zahlungsaufforderung gesehen habe. Weiters denke ich optimistisch in der Hinsicht, dass die fiels vor und nachher exakt gleich groß sind, hab nun schon einige Vergleiche gemacht.

Ja, da komm ich ran. Schicke dir später alles zu. Es sind sehr viele Fotos; kann diese aber durch IrfanView jagen, der macht den Rest für mich

Grüße

wuschelchen

hi
@loewe_68
dann lass es dir von ihm erklären, es nützt uns ja nicht viel wenn du sagst, in irgendeiner datei ist ds zu finden, wie soll man solch eine info nachprüfen :-)

Hi
habe nun den Bösewicht als ZIP ... den neuesten ... ist bei Kaspersky zur Analyse und geht jetzt gleich an Dich Markus

Grüße
Mike

Hallo,

ich hatte auch den Verschlüsselungstrojaner. Er hat keine Dateien umbenannt sondern "in place" verschlüsselt es ist nur der Anfang der Datei verschlüsselt (genau gesagt bis zum offset 0x2FF). Danach ist alles ok.

Hat es jemand schon geschafft die Daten wieder herzustellen? Bis jetzt haben alle hier diskutierten Tools nichts gebracht.

Danke
Reiner

Servus

Ich hab da auch noch nee Rechnung.zip aktuell hier liegen von einem Kunden.

252584_217787718246564_100000460136987_785540_1919832_n
und alle so ähnlich wie: rfJeNavjfQsOTxqNv

Ist auf dem Weg zu Dir

gruß
Stefan

hab jetzt 2 mal ne Malwarebytes quarantäne und 2 bilder, ist da was von euch beiden dabei
@litzed
und
MikeStb
hier die infos zum einsenden:
makrusg - trojaner-board.de

moin moin,
ich schaffe es nicht, einen Rechner zu infizieren.
Hintergrund sind Tests mit BackUps, vor Allem das Verhalten bei SecureZone Partitionen.
Ich habe dazu extra ein System vorbereiten.
IntelCore2Duo, 4GB RAM, 300GB HDD mit zwei Partitionen zu ja 100GB und 100GB nicht zugeordneten Platz, eingerichtet als Acronis Secure Zone.
Es läuft ein durchschnittliches Win7 32bit mit Office, paar Tools.
Ich habe hier eine Lieferschein.exe (54.784 Bytes), vermutlich eine der ersten Generation, eine SPS-Shipment_Information-Report.exe (108.544 Bytes), ein Anhang einer Sendungsmitteilung von DHL und als letzte eine World-Parcel-Express-Details.exe als Anhang einer UPS Mitteilung.

Die World-Parcel-Express-Details.exe ist scheinbar beschädigt, sie lässt sich aus der ZIP nicht extrahieren.
Die beiden anderen tun zwar so als ob, zeigen aber keinerlei Infektionssymptome.
Möglicherweise sind da ein paar Trittbrettfahrer unterwegs unbd machen sich einen Spaß aus der ganzen Hektik.

Ich brauchte also mal einen Bösewicht, der 100%ig böse ist.
Die Variante ist egal.

Vielleicht liest das markusg mit und kann mir einen brauchbaren Feind an die bekannte Mailaddi retour schicken.

Gruß Volker

inzwischen ist der trojaner v2 (verschlüssel+umbenennen ohne "locked.***) bei einem weiteren benutzer aufgetaucht.

hab hier eine andere variante der rettung versucht.

platte ausbauen und vorgängerversion wiederherstellen
hat bis jetzt bei einzelnen ordnern funktioniert.
werd das jetzt auf die ganze platte ausweiten und anschließend mit norton durchscannen
norton ist lauf virustotal einer der virenscanner der den trojaner zumindest erkennt und löscht.

ist das geschehen sicherheitskopie nr.:2 und im abgesicherten modus starten.
mal schauen was passiert