Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Neuer Cryptotrojaner "fileiscryptedhard" nur auf Netzlaufwerken

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 26.05.2016, 21:09   #1
crwhv
 
Neuer Cryptotrojaner "fileiscryptedhard" nur auf Netzlaufwerken - Standard

Neuer Cryptotrojaner "fileiscryptedhard" nur auf Netzlaufwerken



Moin,
ich bin selbst ITler und normalerweise darf ich mich freuen, wenn unsere Kunden einen der bekannten Cryptotrojaner eingefangen haben und teilweise das Thema Datensicherung vernachlässigt haben. Nun bin ich jedoch selbst zum Opfer geworden, jedoch ist es bei uns etwas seltsam!

Durch Zufall habe ich heute Abend bemerkt, dass ein Bild (jpg) von einem Netzlaufwerk nicht korrekt in unsere Rechnungsmaske geladen wurde. Als ich nachschaute, bekam ich einen große Schrecken und dachte nur "SCHEI*****!!!!!" Cryptowall oder Locky eingefangen.

Alle bekannten Dateien (doc, pdf, exe, jpg,...) wurden als URSTPRUNGSDATEI.ENDING.fileiscryptedhard verschlüsselt.
Und in jedem Verzeichnis befindet sich eine Textdatei (READ TO DECRYPTIONS_.txt) mit folgenden Inhalt:
Zitat:
All your data files are crypted.
To decrypt files and gain access to them,
please send 0.5 Bitcoin to adress
194DQmxsSsM4Xp2CozvxatH2WkxA7AnV1f

and email to fn1573917917ja@163.com proof
(screen or TransID) of your payment.

After receiving the money, I will send you
your password and decrypt instruction via email.

You can also send a single crypted file and I
will send you the decryption for your peace of mind.
Wenn ich hiernach Google, finde ich nichts.
Das seltsame ist: Es sind nur die Netzlaufwerke auf einem Win2k8R2 (Domaincoltroller) und von einem Synology NAS verschlüsselt.
Da die Shares nur von Domänenbenutzer Berechtigungen haben, muss also die Schadsoftware auf einem Domänencomputer kommen. Seltsamerweise ist kein PC in der Domäne lokal betroffen.

Die Tools von Kaspersky und ESET helfen leider nicht.

Von den Dateien auf dem Server habe ich Backups und auch bereits wiederhergestellt. Vom NAS, wo u.a. viele gesammelte Images liegen, war die ordentliche Datensicherung noch nicht fertig im Einsatz :/

Jemand eine Schlaue Idee oder kennt jemanden diesen netten, scheinbar neuen Verschlüssler?

Ich wüsste nämlich gerne von wo er verschlüsselt und ob ich die verschlüsselten Dateien evtl. entschlüsseln kann...


1.000 Dank im Voraus!

Alt 26.05.2016, 22:26   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Neuer Cryptotrojaner "fileiscryptedhard" nur auf Netzlaufwerken - Standard

Neuer Cryptotrojaner "fileiscryptedhard" nur auf Netzlaufwerken



moin

Evtl kannst du damit den ransom identifizieren => https://id-ransomware.malwarehunterteam.com/
__________________

__________________

Alt 26.05.2016, 22:33   #3
crwhv
 
Neuer Cryptotrojaner "fileiscryptedhard" nur auf Netzlaufwerken - Standard

Neuer Cryptotrojaner "fileiscryptedhard" nur auf Netzlaufwerken



Hi,
danke für den nützlichen Link. Leider wird er damit auch nicht erkannt.
__________________

Alt 26.05.2016, 22:46   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Neuer Cryptotrojaner "fileiscryptedhard" nur auf Netzlaufwerken - Standard

Neuer Cryptotrojaner "fileiscryptedhard" nur auf Netzlaufwerken



Dann habt ihr das ne coole brandneue Version ist doch toll das neuste zu haben oder?

Also ich hab fast den Eindruck das ist was neues, weil die Teslacrypt-"Maintainer", Entwickler oder wie auch immer du die nennen willst - aufgegeben haben siehe Erpressungs-Trojaner TeslaCrypt gibt auf: Master-Schlüssel veröffentlicht | heise Security

Alt 27.05.2016, 09:31   #5
schrauber
/// the machine
/// TB-Ausbilder
 

Neuer Cryptotrojaner "fileiscryptedhard" nur auf Netzlaufwerken - Standard

Neuer Cryptotrojaner "fileiscryptedhard" nur auf Netzlaufwerken



gibt es hier auch ein Desktopbild zu der Meldung, oder nur rein als Text?

Es muss einer der Client PCs sein. Hier bräuchte man Logs und am Besten den Dropper. Dann kann man schauen.

__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 27.05.2016, 20:58   #6
crwhv
 
Neuer Cryptotrojaner "fileiscryptedhard" nur auf Netzlaufwerken - Standard

Neuer Cryptotrojaner "fileiscryptedhard" nur auf Netzlaufwerken



Nur die Textdateien.
Ich habe mal eine Anfrage an die eMailadresse geschickt, wo ich die Zahlungsbestätigung hinsenden soll.
Er hat sogar geantwortet und netterweise als Beweis die verschlüsselte Datei die ich mitgeschickt habe, entschlüsselt zurück geschrieben und auf die Zahlung hingewiesen

Zitat:
fn1573917917ja@163.com:
after I recieve the money, I send you the password, decruptor and instruction how to decrypt other files

+ how to protect your server in future

Alt 29.05.2016, 19:52   #7
schrauber
/// the machine
/// TB-Ausbilder
 

Neuer Cryptotrojaner "fileiscryptedhard" nur auf Netzlaufwerken - Standard

Neuer Cryptotrojaner "fileiscryptedhard" nur auf Netzlaufwerken



machen die immer, die wollen ja das geld.....
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 29.05.2016, 21:16   #8
Bootsektor
/// TB-Ausbilder
 
Neuer Cryptotrojaner "fileiscryptedhard" nur auf Netzlaufwerken - Standard

Neuer Cryptotrojaner "fileiscryptedhard" nur auf Netzlaufwerken



Ahh, die geben einem auch gleich sinnigerweise Tipps, wie man sich vor ner erneuten Infektion bestmöglich schützt, das ist aber wirklich sehr ehrenhaft.

Alt 30.05.2016, 08:21   #9
Fragerin
/// TB-Senior
 
Neuer Cryptotrojaner "fileiscryptedhard" nur auf Netzlaufwerken - Standard

Neuer Cryptotrojaner "fileiscryptedhard" nur auf Netzlaufwerken



Voll die netten Erpresser, das hatten wir hier doch schon mal. Da kriegt man vielleicht (und selbst wenn es "wahrscheinlich" ist...) seine Daten wieder, aber man hat die ganze Masche damit auch noch unterstützt.
__________________
Zum Schutz vor Trojanerinnen und Femaleware sollte auf Ihrem System immer eine aktuelle Virenscannerin aktiv sein.

Alt 30.05.2016, 15:19   #10
iceweasel
 
Neuer Cryptotrojaner "fileiscryptedhard" nur auf Netzlaufwerken - Standard

Neuer Cryptotrojaner "fileiscryptedhard" nur auf Netzlaufwerken



Überlege dir doch mal über welche Geräte/Accounts und zu welchem Zeitpunkt die Verschlüsselung durchgeführt wurde. Und dann würde ich alle betroffenen Geräte neu installieren.
Die genannte E-Mail-Adresse ist zudem per Google auffindbar. Ich würde das ganze professioneller aufziehen und für jedes Opfer automatisierte Accounts bei unterschiedlichen Hostern verwenden oder über Webformulare auf gehackten Webservern verschleiern.

Keine Ahnung aber vielleicht hilft es zudem der unter

http://www.whois.com/whois/163.com

angegebenen Abuse-E-Mail-Adresse mal zu schreiben. Vielleicht wird der genannte E-Mail-Account dann ja gesperrt.

Alt 01.06.2016, 16:22   #11
Fabian Wosar
Emsisoft Representative
 
Neuer Cryptotrojaner "fileiscryptedhard" nur auf Netzlaufwerken - Standard

Neuer Cryptotrojaner "fileiscryptedhard" nur auf Netzlaufwerken



Sieht nach Xorist aus. Decrypter gibts hier:

https://decrypter.emsisoft.com/xorist

Antwort

Themen zu Neuer Cryptotrojaner "fileiscryptedhard" nur auf Netzlaufwerken
.com, bild, computer, data, dateien, datensicherung, email, entschlüsseln, eset, exe, folge, gen, google, jpg, kaspersky, lokal, netzlaufwerk, neue, neuer, pdf, screen, seltsam, server, tools, win



Ähnliche Themen: Neuer Cryptotrojaner "fileiscryptedhard" nur auf Netzlaufwerken


  1. Neuer Schutz: Microsoft kündigt "Threat Protection" für Windows 10 an
    Nachrichten - 10.03.2016 (0)
  2. neuer PC auf einmal sehr langsam, Firefox-Meldungen "Skript beschäftigt oder antwortet nicht", "keine Rückmeldung"
    Plagegeister aller Art und deren Bekämpfung - 20.05.2015 (26)
  3. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  4. Bei mir erscheint ein neuer Tab bei Firefox: "Auf ihrem PC wurde Spyware entdeckt"
    Log-Analyse und Auswertung - 27.02.2014 (16)
  5. Browser: Suchmaschine und "Start" / "Neuer Tab" - Seite und kurze Hintergrundprogramme
    Log-Analyse und Auswertung - 05.01.2014 (11)
  6. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  7. Firefox "Neuer Tab": mixidj.delta-search.com statt leerer Adresszeile
    Plagegeister aller Art und deren Bekämpfung - 11.05.2013 (8)
  8. Firefox "Neuer Tab": mixidj.delta-search.com, lässt sich nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 27.04.2013 (24)
  9. Musikfetzen aus neuer Tonspur im Audiomixer namens "Namen nicht verfügbar"
    Log-Analyse und Auswertung - 24.12.2012 (1)
  10. Neuer Tab wird mit "searchsafer" geöffnet Firefox
    Plagegeister aller Art und deren Bekämpfung - 12.10.2012 (36)
  11. Neuer Tab in Firefox wird mit "MyStart By IncrediBar" geöffnet
    Plagegeister aller Art und deren Bekämpfung - 28.09.2012 (11)
  12. Neuer BKA Trojaner "Der Computer ist für die Verletzung der Gesetze..."
    Log-Analyse und Auswertung - 06.08.2012 (3)
  13. Windows Vista - "neuer" GVU Trojaner ähnlich Version 2.04
    Plagegeister aller Art und deren Bekämpfung - 27.06.2012 (5)
  14. Experten warnen vor neuer SQL-Attacke "Lilupophilupop"
    Nachrichten - 06.01.2012 (0)
  15. Windows Swcurity Alarm "Vorsichgt neuer Virus im Netz!"
    Antiviren-, Firewall- und andere Schutzprogramme - 03.09.2010 (0)
  16. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)

Zum Thema Neuer Cryptotrojaner "fileiscryptedhard" nur auf Netzlaufwerken - Moin, ich bin selbst ITler und normalerweise darf ich mich freuen, wenn unsere Kunden einen der bekannten Cryptotrojaner eingefangen haben und teilweise das Thema Datensicherung vernachlässigt haben. Nun bin ich - Neuer Cryptotrojaner "fileiscryptedhard" nur auf Netzlaufwerken...
Archiv
Du betrachtest: Neuer Cryptotrojaner "fileiscryptedhard" nur auf Netzlaufwerken auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.