Hallo,

ich habe festgestellt, dass der Trojaner NUR Donnerstags (evtl. noch MIttwochs) aktiv ist. Sonst schläft er.

Schöne Grüße,

make_fun

Zitat:

Zitat von make_fun

Hallo,

ich habe festgestellt, dass der Trojaner NUR Donnerstags (evtl. noch MIttwochs) aktiv ist. Sonst schläft er.

Schöne Grüße,

make_fun

moin moin,
wie kommst Du darauf?

fragt sich Volker.

Soeben ist eine neue Masche bei uns eingegangen :

Mails mit Logo-Header von DHL.com, die auf eine nicht erfolgte Zustellung wegen falscher Adresse hinweisen. Um die Sendung doch noch zu erhalten, soll man den Anhang öffnen.

Zitat:

Zitat von Undertaker

moin moin,
wie kommst Du darauf?

fragt sich Volker.

Dadurch, dass ich es "schmerzlich" feststellen musste.

Ein PC, wo er am 29.04. aktiv war, wurde wohl nicht komplett bereinigt und da ist er genau eine Woche später, am 03.05. wieder aktiv geworden. Zum Glück konnte er da aber nicht so viel verschlüsseln und konnte recht schnell und diesmal auch komplett entfernt werden und wurde dann am 10.05. nicht wieder aktiv. Die ersten Dateien sind beim ersten Auftreten wohl schon am 28.04. aufgetaucht, aber eben nur beim ersten Mal. Die entsprechende Meldung ist NUR am Donnerstag erschienen und das auch erst am Nachmittag, nachdem schon einiges verschlüsselt wurde.

Gruß,

make_fun

Es sind jetzt wohl auch Fake Amazon Mails im umlauf.....

Hallo zusammen,
mal nee Frage:
Leider hat mich letzte Woche auch eine neue Variante des Trojaners erwischt und die bisherigen Tools zeigten leider keinen Erfolg. Ich weiß, dass im Hintergrund schon an Alternativen gearbeitet wird, finde ich toll

Was mich hier verwundert, es waren in den letzten Tagen immer wieder Einträge, in denen in etwa zu lesen war: "Habe Tool genutzt, konnte auch alles entschlüsseln, aber bei .jpg, .pdf, .doc hat es nicht funktioniert".
Ich meine, die Entschlüsselung der anderen Dateien ist doch auch fehlgeschlagen, blos hat die Person es nicht gemerkt oder es wurden Teile des Dateiheaders nicht korrekt entschlüsselt, die aber von dem öffnenden Programm toleriert werden und deshalb sich die Datei öffnen lässt?!?!
Ich hatte bisher bei der Entschlüsselung es immer mit JPGs bzw. PDFs probiert und bin davon ausgegangem, dass es dann auch bei allen anderen Dateien nicht funktioniert. War das falsch und ich kann mein Thunderbird-, SQL-Server-Dateien etc. entschlüsseln und das Problem ist Dateitypen spezifisch??

Schöne Grüße
Matthias

hi,
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

Hey Leute ,

der Rechner meiner Mutter ist infiziert ..... Wie in Gottes Namen schafft ihr es diesen Malware scan durch zu führen wenn er bei mir Sucht dann Kommt das Fenster >.< .....

Zitat:

Zitat von shakalX

Hey Leute ,

der Rechner meiner Mutter ist infiziert ..... Wie in Gottes Namen schafft ihr es diesen Malware scan durch zu führen wenn er bei mir Sucht dann Kommt das Fenster >.< .....

moin moin,
die OTL Boot-CD hast Du?
Bootpriorität im BIOS auf CD gestellt hast Du?

Wenn ja, versuche mal einen anderen Rohling.
Ich hatte hier einen Sony VAIO, der wollte eine CD-R von Intenso partou nicht akzeptieren.

Gruß Volker

Zitat:

Zitat von Undertaker

moin moin,
die OTL Boot-CD hast Du?
Bootpriorität im BIOS auf CD gestellt hast Du?

Wenn ja, versuche mal einen anderen Rohling.
Ich hatte hier einen Sony VAIO, der wollte eine CD-R von Intenso partou nicht akzeptieren.

Gruß Volker

eine was hab ich wo ??habe keine OTLBoot CD und auch keine Sony VAIO

was für eine geniale hilfe hier ... hab nun olt aber den malware scan kann ich nun auch nicht machen was bringtmir also dieser OLT mist????

Zitat:

Zitat von shakalX

was für eine geniale hilfe hier ... hab nun olt aber den malware scan kann ich nun auch nicht machen was bringtmir also dieser OLT mist????

Mist gibt beim Bauernhof, wenn du welchen brauchst oder machen willst, dann bitte dort.
OLTimer hat nicht die Malware geschrieben oder installiert ... Denk mal bitte darüber nach.

Wenn du individuelle Hilfe haben willst, dann ist möglicherweise ein Thread im Diskussionsforum nicht ideal.
=> Plagegeister aller Art und deren Bekämpfung

@shakalX,
ja, die Hilfe hier ist genial aber Hellseherei findest Du hier nicht.
Für Hilfe ist ein Mindestmaß an Eigeninitiative notwendig.
Dazu gibt es ganz oben Hinweise mit den entsprechenden Links.

moin moin vüxle,
das Verhalten des AVIRA Tools habe ich auch festgestellt und hier beschrieben:

http://www.trojaner-board.de/114115-...tml#post827300

markusg hat das Problem schon vor fast zwei Wochen an AVIRA weitergeleitet.
Schade dass AVIRA noch nicht reagiert hat.
Wenn scareuncrypt bei sehr großen Dateien aufgibt, kannst Du die vielleicht erstmal auslagern und den Rest in Ordnung bringen.
Das Kaspersky Tool überschreibt auch, arbeitet allerdings nicht selektiv auf einzelne Partitionen oder Verzeichnisse.
Letztendlich kannst Du auch über die Konsole (Eingabeaufforderung) bereits bearbeitete, aber unbrauchbare Dateien wieder löschen.
Beispiel:
attrib +H /S locked-*.* --> setzt alle locked- Dateien auf hidden, auch in Unterordnern.
del /S /A -H *.* --> löscht alle Dateien, außer hidden, auch in Unterordnern.
attrib -H /S *-* --> setzt das hidden für die locked- dateien zurück.

Danach sollten in den Verzeichnissen nur noch die locked- Dateien sein und Du kannst mit einem neuen Schlüsselpaar und dem AVIRA weiter machen.

Natürlich mußt Du vorher alle "guten" Dateien in Sicherheit bringen und es dürfen auch keine anderen Dateien in den Verzeichnissen sein.
del A -H *.* selektiert nur hidden und sonst nicht weiter, also Vorsicht!

Gruß Volker

moin moin vüxle,
das Verhalten des AVIRA Tools habe ich auch festgestellt und hier beschrieben:

http://www.trojaner-board.de/114115-...tml#post827300

markusg hat das Problem schon vor fast zwei Wochen an AVIRA weitergeleitet.
Schade dass AVIRA noch nicht reagiert hat.
Wenn scareuncrypt bei sehr großen Dateien aufgibt, kannst Du die vielleicht erstmal auslagern und den Rest in Ordnung bringen.
Das Kaspersky Tool überschreibt auch, arbeitet allerdings nicht selektiv auf einzelne Partitionen oder Verzeichnisse.
Letztendlich kannst Du auch über die Konsole (Eingabeaufforderung) bereits bearbeitete, aber unbrauchbare Dateien wieder löschen.
Beispiel:
attrib +H /S locked-*.* --> setzt alle locked- Dateien auf hidden, auch in Unterordnern.
del /S /A -H *.* --> löscht alle Dateien, außer hidden, auch in Unterordnern.
attrib -H /S *-* --> setzt das hidden für die locked- dateien zurück.

Danach sollten in den Verzeichnissen nur noch die locked- Dateien sein und Du kannst mit einem neuen Schlüsselpaar und dem AVIRA weiter machen.

Natürlich mußt Du vorher alle "guten" Dateien in Sicherheit bringen und es dürfen auch keine anderen Dateien in den Verzeichnissen sein.
del A -H *.* selektiert nur hidden und sonst nicht weiter, also Vorsicht!

Gruß Volker

Entschuldigung,
dass das hier doppelt erscheint war keine Absicht.

Zitat:

Zitat von Undertaker

und es dürfen auch keine anderen Dateien in den Verzeichnissen sein.
del A -H *.* selektiert nur hidden und sonst nicht weiter, also Vorsicht!

Genau, denn falls (wie es bei mir leider der Fall war...) nicht alle Dateien verschlüsselt wurden, kommt man nach einem erfolglosen Wiederherstellungsversuch mit den verfügbaren Tools nicht um etwas Handarbeit bei eingeschaltetem Hirn rum ;-) d.h. nur wenn es locked-* Dateien gibt, darf man das entspechende (fehlerhaft wiederhergestellte und somit unbrauchbare) Original löschen >> sollte irgendwann mal ein echtes Universaltool verfügbar sein, welches vorhandene Dateien einfach überschreibt, so kann man sich die handarbeit sparen....
Weiterhoffend und betend, da von der neuesten Variante betroffen...
ts2000

Hallo,
ich bin Laie was PC angeht. Ich habe mir den Verschlüselungs-Trojaner gefangen. Etwas in Panik geraten habe ich versucht den Laptop in dem abgesichertem Modus wieder zu starten, es hat geklappt. Danach mit AntiVir gescannt. Konnte aber nichts entfernen.

Anschließend pc ausgemacht und wieder hochgefahren. Die Anzeige mit der Aufforderung zu zahlen war nicht mehr da. Die Dateien könnte ich allerdings nicht mahr öffnen. Danach habe ich versuch mit der OTLPENet den Laptop zu rebooten. Hat nicht funktioniert. Anschließend habe ich mit dem tune up utilities 2012 den Laptop abgescannt. Danach mit dem Malwarebytes. Ich befolgte alle Anweisungen was die genannten Scannprogramme angeht, Viren entfernt, hoffentlich.

Ich muss nun feststellen, dass ich keine verschlüsselte Dateien finde. Es existieren nur alle üblichen Dateien wie vorher. Beim Öffnen kommt ein Hinweis, dass die Datei beschädigt ist und kann nicht geöffnet werden.
Nach dem ich hier so viel gelesen habe, bin ich völlig durcheinander und weiß gar nicht weiter. Denn mein Problem ist hier gar nicht beschrieben, nämlich, was kann ich entschlüsseln, wenn es nichts zu entschlüsseln gibt. Sorry, wenn ich hier einige Regeln breche, aber ich weiß echt nicht weiter

Zitat:

Zitat von Vlado13

Hallo,
ich bin Laie was PC angeht. Ich habe mir den Verschlüselungs-Trojaner gefangen. Etwas in Panik geraten habe ich versucht den Laptop in dem abgesichertem Modus wieder zu starten, es hat geklappt. Danach mit AntiVir gescannt. Konnte aber nichts entfernen.

Anschließend pc ausgemacht und wieder hochgefahren. Die Anzeige mit der Aufforderung zu zahlen war nicht mehr da. Die Dateien könnte ich allerdings nicht mahr öffnen. Danach habe ich versuch mit der OTLPENet den Laptop zu rebooten. Hat nicht funktioniert. Anschließend habe ich mit dem tune up utilities 2012 den Laptop abgescannt. Danach mit dem Malwarebytes. Ich befolgte alle Anweisungen was die genannten Scannprogramme angeht, Viren entfernt, hoffentlich.

Ich muss nun feststellen, dass ich keine verschlüsselte Dateien finde. Es existieren nur alle üblichen Dateien wie vorher. Beim Öffnen kommt ein Hinweis, dass die Datei beschädigt ist und kann nicht geöffnet werden.
Nach dem ich hier so viel gelesen habe, bin ich völlig durcheinander und weiß gar nicht weiter. Denn mein Problem ist hier gar nicht beschrieben, nämlich, was kann ich entschlüsseln, wenn es nichts zu entschlüsseln gibt. Sorry, wenn ich hier einige Regeln breche, aber ich weiß echt nicht weiter

Hallo Vlado,

ich habe dasselbe Problem. Trojaner eingefangen, entfernt, aber die meisten Dateien sind nicht mehr lesbar, vor allem .jpg, .pdf, .xls. Die schauen ganz normal aus, Name ist wie immer, aber beim Öffnen kommen Fehler.

Konntest Du das Problem lösen, wenn ja, wie?!

Chapuisat

Zitat:

Zitat von matkuni

So, hier ein neues Release, mit dem ich auch selber soweit zufrieden bin!

Die Entschlüsselungsroutine, welche weiterhin die verschlüsselten Dateien als Sicherheitskopie behält, arbeitet jetzt auch wesentlich schneller und kommt fast an die direkte Methode ran! Ich empfehle also jedem, dass er den Haken bei "Sicherheitskopie behalten" aktiviert lässt.

Die alte Entschlüsselungsmethode, die bei zwei Benutzern teilweise defekte Bilder hervorgerufen hatte (bisher nicht bestätigt/rekonstruiert), wurde komplett ausgetauscht.
Meine verwendeten Testfälle laufen soweit prima und ich hoffe weiterhin auf Feedback!

Ich mag es eigentlich gar nicht, wenn bei jeder Kleinigkeit direkt zum "Spenden" aufgerufen wird, aber da bereits mehrere Benutzer nach meiner Paypal-Adresse gefragt haben, will ich sie nicht vorenthalten.. matthias@kunig.org - ich fand die letzten beiden Tage und Nächte aber auch so spannend und stelle die Anwendung gerne zur Verfügung!

Download: DecryptHelper 0.5

Auf eigene Gefahr! Vorher (auch die verschlüsselten) Dateien sichern!
Die verschlüsselten Dateien nicht löschen, auch wenn die Entschlüsselung auf den ersten Blick erfolgreich war!

Hallo Matkuni,

ich bin etwas verzweifelt, habe auch den Verschlüsselungstrojaner gehabt und auch bereits beseitigt. Leider hat er mir wohl viele Dateien verschlüsselt. Diese haben aber alle den Originalnamen beibehalten, also kein Zusatz vor oder nach dem Dateinamen.

Ich habe bereits mehrere Tools ausprobiert, Avira Ranson File Unlocker, ScareUncrypt, matsni1decrypt und auch Deinen Decrypt-Helper 0.5. Mit allen Tools kann ich keinen gültigen Schlüssel generiren und somit auch nichts entschlüsseln.

Ich habe ein Bild als Beispiel auf meinen Dropbox Account gelegt, Du kannst Es Dir mal vielleicht ansehen, wenn Du Zeit hast. Es ist das verschlüsselte und das Originalfoto dabei.

https://www.dropbox.com/s/nuw06zblim6rvi6/Bilder.zip

Mein Beitrag dazu, leider noch ohne Hilfe: http://www.trojaner-board.de/115303-...er-e-mail.html

Danke und Gruß
Chapuisat