Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Verschlüsselungstrojaner - neue Welle

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 11.07.2012, 03:03   #1
Da GuRu
Administrator
/// technical service
 

Verschlüsselungstrojaner - neue Welle - Standard

Verschlüsselungstrojaner - neue Welle



Verschlüsselungstrojaner - neue Welle

Vermehrt wird wieder neuer SPAM mit einer neuen Version des Verschlüsselungstrojaners gesendet.
Die genannten Firmen variieren in den SPAM Mails.

Beispieltext:
Zitat:
Hallo XXX,

Auf zwei Erinnerungen ist keine Reaktion von ihnen erfolgt. Sicherlich ist
es Ihnen entgangen, dass die Zahlungsfrist der nachfolgenden Mahnung
abgelaufen ist.

Summe: 642,24 Euro
Mänge: 1
Gelieferte Ware: Nokia Life XC
Artikel Nr.: 7200661548484

Wegen zusätzlichen Kosten anlässlich des Ausgleichs von Gebührenforderungen
erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 60.- Euro

Falls in den folgenden 7 Tagen der Gesamtbetrag nicht überwiesen wird, sehen
wir uns leider gezwungen, ein Gerichtsverfahren in die Wege zu leiten und
ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen.

Betrachten Sie dieses Mahnungsschreiben bitte als gegenstandslos, falls sich
dieses Mahnungsschreiben mit der Bezahlung des ausstehenden Betrags zeitlich
überschnitten haben sollte.

Anlagen:
- Rechnung
- Lieferschein

Mit freundlichen Grüßen

Hartmann GmbH
Billufer 57
Augsburg

Telefon: (0180) 533 0908713
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Bad Berneck
Umsatzsteuer-ID: DE547650961
Geschäftsfuehrer: Philipp Benen
Im Anhang ist ein ZIP-Archiv mit Namen wie:
Schreiben.zip
Daten.zip
Mahnung.zip


Code:
ATTFilter
SHA256:
d6c7369acac524c7865f6bae7a432338e973bf7d4623d6d3abd1b05a7c9344e7
 
SHA1:
202e5a1838944f0ba4917798ee807d4ac64309bf
 
MD5:
a1edd8a3ba3b44036e8250c319592483
         
Es gibt Hinweise darauf, dass der Backdoor Trojan.Win32.Bublik nachgeladen und instaliert wird.


Wichtig:
Archiv nicht öffnen.
Mail bitte an uns weiterleiten: http://markusg.trojaner-board.de


Bei Problemen:
PC vom Internet trennen und bitte hier von einem zweiten PC aus ein Thema erstellen um den PC zu bereinigen.

Alt 12.07.2012, 19:57   #2
botany
 
Verschlüsselungstrojaner - neue Welle - Standard

Verschlüsselungstrojaner - neue Welle



Hallo,

leider habe ich gestern auch so eine Mail bekommen. Der Text in der Mail war der gleiche wie hier angegeben, nur, dass ich 3 Kameras zu 750,-€ bestellt habe. Als Attachment "wichtig.zip". Avira hat dann "drop.injector.firp" entdeckt.

So, dann hatte ich heute sofort meinem Rechner in der Werkstatt. Da wurde der Trojaner nicht mehr gefunden.

Nun gerade habe ich Avira nochmals durchlaufen lassen und da hat er schon wieder was auf meinem Rechner gefunden diesmal TR/Dropper.Gen

Seit ich gegen 18:00 meinen Rechner angeschalten habe, wollen sich Spam-Mails über mehrere Mail-Accounts verteilen. Der eine Mail-Account befindet sich bei Alfahosting. Von da erhalte ich vom Vorfilder (DCC) in der Stunde um die 200 Mails zurück. Passwort ändern auf dem Server hat nichts gebracht. Fortlaufend flattern neue Mails ein. Der 2. Account liegt bei GMX, da dort der Vorfilder nicht so gut funktioniert, merke ich natürlich nicht in wie fern dieses Konto als Spamverteiler mißbraucht wird.

Der Support von Alfahosting läuft in diesem Fall mal Support sehr schleppend.

Das war jetzt ziemlich viel Text, ich hoffe ihr habt Lust es Euch durchzulesen und es fällt euch etwas hilfreiches ein. Ich brauche meinen Rechner zum arbeiten und pflege mehrer Websiten. Ehrlich gesagt habe ich auch Angst, dass ich solch schädliche Software nun an alle möglichen Leute verteile.

Danke,

Grit
Angehängte Dateien
Dateityp: txt mbam-log-2012-07-12 (08-51-24).txt (2,3 KB, 458x aufgerufen)
__________________


Alt 12.07.2012, 20:10   #3
W_Dackel
 
Verschlüsselungstrojaner - neue Welle - Standard

Verschlüsselungstrojaner - neue Welle



@botany: du solltest unter "Plagegeister und deren Beseitigung" einen Thread aufmachen. Dein Post gehört nicht in diesen Thread.

@DaGuru: wäre nicht ein Hinweis dass beim Verschlüsselungstrojaner sobald man diesen erkennt der Rechner "notfalls mit Gewalt" so schnell wie möglich ausgeschaltet werden sollte hilfreich ? Je früher man den Trojaner beim Verschlüsseln unterbricht desto mehr Dateien sollten unverschlüsselt und damit rettbar vorliegen ...
__________________

Alt 12.07.2012, 20:24   #4
botany
 
Verschlüsselungstrojaner - neue Welle - Standard

Verschlüsselungstrojaner - neue Welle



@w-dackel: kann ich meinen Beitrag dahin verschieben? Ich poste hier zum 1. Mal

Alt 12.07.2012, 22:05   #5
reggie
 
Verschlüsselungstrojaner - neue Welle - Standard

Verschlüsselungstrojaner - neue Welle



Hy botany , mach dort einfach ein neues Thema auf. Dann muss nicht extra verschoben werden.
Das ist denen auch lieber


Alt 13.07.2012, 07:59   #6
botany
 
Verschlüsselungstrojaner - neue Welle - Standard

Verschlüsselungstrojaner - neue Welle



ich habe ein neues Thema unter "Plagegeister ...." aufgemacht, es heißt:
"drop.injector.firp und TR/Dropper.Gen"

Alt 13.07.2012, 15:36   #7
markusg
/// Malware-holic
 
Verschlüsselungstrojaner - neue Welle - Standard

Verschlüsselungstrojaner - neue Welle



wir machen dafür, denke ich,noch ne meldung fertig, aber schon mal als kleine warnung, momentan wird spam im namen der Sex Kontakte AG verteilt
Sehr geehrter Nutzer x,
wir sind sehr Dankbar für Ihr Interesse an dem kostenpflichtigen Dienst von Sex Kontakte AG. Seit Ihrer Anmeldung am 16.06.2012 sind nunmehr zwei Wochen
verstrichen, ohne dass Sie schriftlich von Ihrem Widerrufsrecht Gebrauch gemacht haben. Wir sind sehr erfreut, dass unser Angebot Ihren Zuspruch gefunden
hat und erlauben uns, für die Bereitstellung und Erbringung unserer Dienstleistung das vereinbarte Nutzungsentgelt in Rechnung zu stellen.

Kundennummer: KCOUR-572098
Rechnungsnummer: UFXI45984-9532504037

12 Monate Mitgliedschaft: 550,81 EUR
Zeit: 15.06.2012 - 22.06.2013

Bitte übertragen Sie den Rechnungsbetrag bis zum 17.07.2012 unter Angabe des Verwendungszwecks DPPP92318-8428515507 an unser Bankkonto:

Kontoinhaber: Beck GmbH
Konto: 243360227
Bankleitzahl: 781 923 63

Wir bitten Sie den ausstehenden Rechnungsbetrag innerhalb der gennanten Frist zu überweisen,um die Entstehung zusätzlicher Mahnkosten zu vermeiden.

Beilagen:
- Rechnung
- Vertragsdaten

Ferner haben Sie uns gegenüber begläubigt, die diesem Vertrag zugrunde liegenden AGB gelesen und angenommen zu haben. Das Ihnen zustehende Widerrufsrecht
haben Sie gar nicht, nicht fristgerecht oder unwirksam ausgeübt.

Mit verbindlichen Grüßen dein Support

wer sowas bekommt, nicht öffnen, und an uns weiterleiten

Sex Kontakte AG SPAM: Verschlüsselungstrojaner
__________________
Verdächtige Mails mit Anhang bitte an uns zur Analyse weiterleiten!
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 13.07.2012, 16:49   #8
markusg
/// Malware-holic
 
Verschlüsselungstrojaner - neue Welle - Standard

Verschlüsselungstrojaner - neue Welle



das gute stück instaliert jetzt auch noch
Trojan.Win32.Bublik
__________________
Verdächtige Mails mit Anhang bitte an uns zur Analyse weiterleiten!
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 20.07.2012, 19:27   #9
Henry84
 
Verschlüsselungstrojaner - neue Welle - Standard

Verschlüsselungstrojaner - neue Welle



Über die Bankverbindung musste es doch möglich sein, den Menschen der dahinter steckt ausfindig zu machen.

Alt 20.07.2012, 20:17   #10
Undertaker
/// Helfer-Team
 
Verschlüsselungstrojaner - neue Welle - Standard

Verschlüsselungstrojaner - neue Welle



Zitat:
Zitat von Henry84 Beitrag anzeigen
Über die Bankverbindung musste es doch möglich sein, den Menschen der dahinter steckt ausfindig zu machen.
Mal abgesehen davon, dass die Namen real existierender Firmen hier missbraucht werden, erkläre mir mal, welche Bank hinter der Bankleitzahl 781 923 63 stecken soll.
Dein Vorgeschlagener Weg führt ins Nirvana.
Außerdem ist für die Schurken der Mailinhalt nur Text. Keiner erwartet da eine Überweisung.
Ziel ist der Ucash-Code.

Volker
__________________
Das Board unterstützen

Datenrettung -->HIER!

Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer.

Alt 20.07.2012, 22:14   #11
PC-Exakt
 
Verschlüsselungstrojaner - neue Welle - Standard

Verschlüsselungstrojaner - neue Welle



Hallo,

bei mir häufen sich seit zwei Wochen die Anfragen von Kunden die mit der neuen Version infiziert sind. Scheint nicht wirklich abzuebben, werde mir wohl eine VM aufsetzen und infizieren damit ich weiter experimentieren kann mit den Tools und Hinweisen die hier auftauchen zwecks Datenrettung.

Alt 06.08.2012, 01:49   #12
Piglet
 
Verschlüsselungstrojaner - neue Welle - Standard

Verschlüsselungstrojaner - neue Welle



Gibt es eigentlich schon Meldungen zu Drive-By-Versionen ?
Ich hatte mir auch einen UKash eingefangen, aber nicht durch eine Mail oder einen (bewußten) Download, sondern auf einer großen, harmlosen Seite - vermutlich durch einen infizierten Flashbanner. Da sie bekannt war, waren die Einstellungen für NoScript zu locker.

Alt 06.08.2012, 06:39   #13
Undertaker
/// Helfer-Team
 
Verschlüsselungstrojaner - neue Welle - Standard

Verschlüsselungstrojaner - neue Welle



moin moin Piglet,
der Virus hat aber nix verschlüsselt, oder?
Es gibt ja nicht nur Verschlüsseler unter der Ransomware.
Mir ist noch keine Drive-by Infektion mit dem Verschlüsselungstrojaner bekannt, was aber nichts heißen soll, denn auch der wird weiter entwickelt.

Volker
__________________
Das Board unterstützen

Datenrettung -->HIER!

Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer.

Alt 06.08.2012, 08:55   #14
Piglet
 
Verschlüsselungstrojaner - neue Welle - Standard

Verschlüsselungstrojaner - neue Welle



Moin Undertaker,

es sah so aus, als wenn er gestört wurde. Avira fand und blockierte eine unlocker.dll, die er als "Agent.ewu 1" identifiziert hat. Der Teil, der durchkam, wurde von MBAM als "Trojan.Agent.RNSGen" bezeichnet. Ich wünschte, die Jungs würden ihre Kreativität zu guten Zwecken einsetzen...

Alt 30.08.2012, 07:47   #15
reggie
 
Verschlüsselungstrojaner - neue Welle - Standard

Verschlüsselungstrojaner - neue Welle



Ich dachte es wäre ruhe aber es geht weiter...

Zitat:
Sehr geehrter Kunde,

bei der Überprüfung der Zahlungseingänge stellten wir fest, dass Sie die
Rechnung Nr. 2979442/2012 noch nicht beglichen haben.

Artikel: Toshiba WT9E 1592,24 Euro

Hiermit verpflichten wir Sie so schnell wie möglich, Ihre nicht bezahlte
Rechnung zu begleichen und damit weitere Inkasso-Büro Kosten einzusparen.

Wir müssen Ihnen 13,00 Euro des Weiteren zu der noch offenen Forderung als
Mahngebühr in Rechnung stellen.
Wir bitten Sie, den fälligen Betrag bis zum 01.09.2012 auf das angegebene Konto
zu übersenden.

Die Rechnung und die Artikel Liste liegen dieser E-Mail als Kopie bei.

Mit verbindlichen Grüßen

KonsolenprofisVersand GmbH Bad Bibra
Geschäftsführer: Lili Klein
Fimen-Nummer: DE172971423
Werde mal versuchen die Mail an den Markus hier weiterzuleiten...

Ist heute eingetroffen die Mail !

Schade kann die nicht als .eml speichern

Antwort

Themen zu Verschlüsselungstrojaner - neue Welle
bck/qbot.ao, computerverschlüsselungstrojaner, mahnung, mahnung.zip, rechnung.pif, sie haben sich mit einen windows-verschlüsselungs trojaner infiziert, tr/drop.injector.firp, trojan-dropper.win32.injector, trojan-dropper.win32.injector.firp, trojan.win32.bublik, trojan.win32.heur.gen, verschlüsselungs-trojaner, verschlüsselungstrojaner, virus verschlüsselt, w32/backdoor2.hmbt, w32/kryptik, win32/trustezeb.c



Ähnliche Themen: Verschlüsselungstrojaner - neue Welle


  1. Reparaturanleitungen für Dateien vom Verschlüsselungstrojaner "12 kB / neue Version"
    Diskussionsforum - 11.11.2015 (187)
  2. Firefox lädt ständig - ununterbrochen neu/Werbung/neue Tabs/neue Fenster
    Log-Analyse und Auswertung - 28.10.2015 (11)
  3. Mehrere wellen virus (welle 2?)
    Plagegeister aller Art und deren Bekämpfung - 03.10.2015 (14)
  4. Deutsche Telekom warnt vor Spam-Welle
    Nachrichten - 19.08.2015 (0)
  5. Schadsoftware-Welle mit jedem Tag anderer ZIP-Datei
    Diskussionsforum - 12.05.2015 (27)
  6. Achtung! An alle Nutzer deutscher Mailanbieter, SPAM-Welle unterwegs zum Thema Mailadressenankauf
    Überwachung, Datenschutz und Spam - 11.06.2014 (0)
  7. Neue Welle von erpresserischen Anrufen
    Nachrichten - 26.11.2013 (0)
  8. Malware-Welle zielt auf syrische Oppositionelle
    Nachrichten - 16.08.2012 (0)
  9. Windows Verschlüsselungstrojaner - neue Variante
    Plagegeister aller Art und deren Bekämpfung - 28.06.2012 (1)
  10. Verschlüsselungstrojaner (neue Version?) unter Windows 7
    Plagegeister aller Art und deren Bekämpfung - 11.06.2012 (1)
  11. Verschlüsselungstrojaner - neue Variante Win32.Injector.expe
    Log-Analyse und Auswertung - 31.05.2012 (1)
  12. Achtung - neue Variante Verschlüsselungstrojaner "Abmeldung.zip"
    Plagegeister aller Art und deren Bekämpfung - 23.05.2012 (3)
  13. Verschlüsselungstrojaner neue Verschlüsselung keine Lock-Dateien
    Log-Analyse und Auswertung - 22.05.2012 (3)
  14. Verschlüsselungstrojaner neue Verschlüsselung keine Lock-Dateien
    Log-Analyse und Auswertung - 21.05.2012 (1)
  15. Scareware-Welle schwappte durch Twitter
    Nachrichten - 21.01.2011 (0)
  16. Die neue Welle kommt
    Plagegeister aller Art und deren Bekämpfung - 01.05.2006 (1)

Zum Thema Verschlüsselungstrojaner - neue Welle - Verschlüsselungstrojaner - neue Welle Vermehrt wird wieder neuer SPAM mit einer neuen Version des Verschlüsselungstrojaners gesendet. Die genannten Firmen variieren in den SPAM Mails. Beispieltext: Zitat: Hallo XXX, Auf zwei - Verschlüsselungstrojaner - neue Welle...
Archiv
Du betrachtest: Verschlüsselungstrojaner - neue Welle auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.