Dateien wurden von mir in den Upload Channel hochgeladen.

Code: Alles auswählenAufklappen

ATTFilter

Datei: Abrechnung[1].zip empfangen
Datei: Rechnung[1].zip empfangen
Datei: 24160D39BC7D5E5630FC.exe empfangen

Vorgang erfolgreich abgeschlossen.
         

Eine Email ist nicht mehr vorhanden, fall der Trojaner über email gekommen ist.

Vergleichsdateien sind vorhanden.

Habt ihr die E-Mail mit dem Trojaner auch von einem *@optoline.net Absender bekommen?
Beste Grüße

sind einige absender,
deswegen wollen wir ja möglichst viele infos zusammen tragen.

Von: crey@welho.com
Gesendet: 25 April 2012 05:27
Betreff: Buchung vom Ihrem Konto 3492442
Anlagen: Rechnung.zip

Sehr geehrte Damen und Herren,

wir freuen und Ihnen mitteilen zu können, dass Sie sich für Permium Mail angemeldet haben.
Sie dürfen jetzt bis zu 300 Mitteilungen pro Monat kostenfrei versenden und Ihr Speicherplatz erhöht sich um 8Gb.
12,39 Euro werden Ihnen pro Monat von Ihrem Konto abgebucht. Entnehmen Sie die Rechnungsdaten bitte dem Anhang, dort finden Sie auch das Schreiben für Ihre 2 Wochen Kündigungsfrist.

Mit Freundlichen Grüssen
Ihr Kundenservice

---------------------------------------------------------------------------------------------------
Von: srosser1@optusnet.com.au
Gesendet: 24. April 2012 23:07
Betreff: Zahlungsaufforderung 87564283
Anlage: Rechnung.zip

Sehr geehrte Damen und Herren,

wie sind höchst erfreut Ihnen mitteilen zu können, dass Sie sich für Premium Mail angemeldet haben.
Sie können jetzt bis zu 650 Mitteilungen pro Monat kostenfrei verschicken und Ihr Speicherplatz erweitert sich um 8 Gigabyte.
86,69 Euro werden Ihnen ein Mal im Monat von Ihrem Konto abgeschrieben. Entnehmen Sie die Vertragseinzelheiten bitte dem Anhang, dort findet Sie auch den Formular für Ihre 2 Wochen Kündigungsfrist.

Mit Freundlichen Grüssen
Ihr Kundenservice

Zitat:

Zitat von Realjogi

Von: crey@welho.com
Gesendet: 25 April 2012 05:27
Betreff: Buchung vom Ihrem Konto 3492442
Anlagen: Rechnung.zip

Sehr geehrte Damen und Herren,

wir freuen und Ihnen mitteilen zu können, dass Sie sich für Permium Mail angemeldet haben.
Sie dürfen jetzt bis zu 300 Mitteilungen pro Monat kostenfrei versenden und Ihr Speicherplatz erhöht sich um 8Gb.
12,39 Euro werden Ihnen pro Monat von Ihrem Konto abgebucht. Entnehmen Sie die Rechnungsdaten bitte dem Anhang, dort finden Sie auch das Schreiben für Ihre 2 Wochen Kündigungsfrist.

Mit Freundlichen Grüssen
Ihr Kundenservice

Diese Email von einem roger. ??? hatte ich auch bekommen.

hallo
meine frau hat gestern den gleichen fehler gemacht und die e-mail geöffnet
könnte ich noch mal die decrypter.jar haben zum probieren
danke

hab mal vorher nacher einer bilddatei hochgeladen
vieleicht hilft das

hxxp://forum.sysprofile.de/schnelle-frage/171034-problem-mit-verschluesselten-datein-nach-scareware.html

Ach noch eine idee zur key ermittlung die beispielmusik bei windows 7 ist bei mir auch locked die sollte aber doch bei allen windows 7 gleich sein oder ??
oder die Beispiel Bilder

Zitat:

Zitat von Realjogi

vieleicht hilft das

http://forum.sysprofile.de/schnelle-...scareware.html

Ist der selbe Ansatz, den ich auch verfolge. Klappt aber nicht ohne Anpassung, da der Schlüssel rechnerabhängig ist.

Zitat:

Zitat von Realjogi

Ach noch eine idee zur key ermittlung die beispielmusik bei windows 7 ist bei mir auch locked die sollte aber doch bei allen windows 7 gleich sein oder ??
oder die Beispiel Bilder

Ja, eine Datei mit mindestens 4 KB, die auch unverschlüsselt vorliegt, reicht nach aktuellem Kenntnisstand aus. Nur bei jedem Benutzer ist nicht unbedingt das selbe / alles verschlüsselt.

Nett, gibt jetzt auch schon mails wo personen namendlich angesprochen werden.

Was haltet Ihr davon?

hxxp://www.f-secure.com/weblog/archives/00002349.html

nein, das ist nicht die selbe ransom ware
wird also nicht funktioniren, ebenso das drweb tool nicht.

Hallo
in meiner Firma war eine Kollegin auch so frei den Anhang zu öffnen
(Natürlich hat sie es erst zugegeben als ich sie direkt darauf hin gefragt hab .. vorher war ja nur zu hören .. "Ich hab nix gemacht .. auf einmal ging nix mehr " ^^)
Ihr Rechner hatte auch Zugriff auf eine Ordner auf ein NAS Laufwerk .. ja toll ..
Habe auch Orginal Dateien und "Locked-Dateien.exe.xyz" .. aber ich denke ihr habt sicher schon genug ..
Aber mal eine Frage die ich mir noch stelle ..nach welcher Reihenfolge.. oder Prinzip ging er vor sich die Dateien zu schnappen ?
Einige Ordner wurden gar nicht angefasst andere nur teilweise .. hab da noch keine logischen Vorgang gefunden .. achso .. es sind aber auch ganz kleine Dateien betroffen .. unter 1 K ? weil es mal hier um die 4 K ging !?
mfg
Gerd

markusg ich hätte die e-mail auch noch da und würde versuchen sie dir mal zu schicken falls es dir was nutzt
bräuchte nur eine adresse von dir

hi,
da es momentan noch keine mir bekannte ausführliche analyse gibt, kann ich dir nichts sagen welche dateien befallen wurden,
bilder und doc sind auf jeden fall häufig betroffen.
hast du die mail in einem mail programm wie thunderbird.
dann einmal markieren, speichern unter, und irgendwo hin speichern wo du sie findest.
dann an
http://markusg.trojaner-board.de
senden, wenn das nicht geht, dann mail weiter leiten aber ich benötige auf jeden fall den mail header.
entweder du weist wie man den aufruft oder du musst mir malsagen was für nen mail programm bzw webmailer du nutzt

Mein Arbeitskolege hat dasselbe Problem mit seinem Laptop(Vista)
Sogut wie alle wichtigen Datein sind verschlüsselt.
Habe eine Kopie auf USB-HD gemacht und nach Systemzurückführung ist der Rechner wieder gelaufen. Habe Backup gemacht(bei Vista im Zip-Vormat), um alles zu sichern.
Alles Formatiert und neues System aufgespielt.
Es wäre gut, die verschlüsselten Dateien zurückzuholen.