Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: locked-dateiname.abc.1234 - Stand bei 6KB-Version.

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 06.05.2012, 04:56   #1
BITFOX
/// Helfer-Team
 
locked-dateiname.abc.1234 - Stand bei 6KB-Version. - Standard

locked-dateiname.abc.1234 - Stand bei 6KB-Version.



Ich habe mich die letzten 2 Tage etwas einschlägiger mit der "6KB-Version" beschäftigt; diese beschädigt die ersten 6144 Bytes einer Datei.

Ich habe zuerst eine VM absichtlich infiziert und versucht etwas lanwierig den Dump aus dem Hauptspeicher zu dechiffieren -
mein Assembler ist dann doch ziemlich eingerostet... und das ganze war wirklich SEHR langwierig, dass ich schließlich diesen Weg als nicht gangbar aufgegeben habe.

Anschließend habe ich nun das Biest mit manipulierten Daten gefüttert und konnte unter anderem sehen, dass hier teilweise wohl LO und HI-Bytes verdreht und dann xored werden -
mag sich wer mit austauschen?

Allein im Kämmerlein hocken und sich den Kopf machen ist ziemlich langweilig und frustrierend.

Alt 08.05.2012, 14:53   #2
BITFOX
/// Helfer-Team
 
locked-dateiname.abc.1234 - Stand bei 6KB-Version. - Standard

locked-dateiname.abc.1234 - Stand bei 6KB-Version.



Hrm.. schade.. scheint so, als möchte hier jeder sein eigenes Süppchen kochen.
__________________

__________________

Alt 08.05.2012, 14:58   #3
Da GuRu
Administrator
/// technical service
 

locked-dateiname.abc.1234 - Stand bei 6KB-Version. - Standard

locked-dateiname.abc.1234 - Stand bei 6KB-Version.



Ne, ich glaube Matthias ist noch garnicht dazu gekommen...
__________________

Alt 08.05.2012, 16:21   #4
markusg
/// Malware-holic
 
locked-dateiname.abc.1234 - Stand bei 6KB-Version. - Standard

locked-dateiname.abc.1234 - Stand bei 6KB-Version.



@BITFOX
ich hatte dir nen vorschlag per pm gesendet, wohin du dich wenden kannst für weitere anregungen :-)
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 21.05.2012, 20:36   #5
flo.at
 
locked-dateiname.abc.1234 - Stand bei 6KB-Version. - Standard

locked-dateiname.abc.1234 - Stand bei 6KB-Version.



Hallo zusammen!

Ich habe hier leider auch eine Festplatte, die scheinbar durch die 6KB-Variante verschlüsselt wurde
Leider funktioniert keines der momentan verfügbaren Tools für die Entschlüsselung.

Da es scheinbar nicht viele gibt, die (wissentlich) von einer dieser Varianten erwischt wurden, wollte ich hier noch einmal nachfragen ob es irgendwelchen Fortschritt diesbezüglich gibt.

Ich habe ein Paar aus verschlüsselter und originaler Datei angehangen, falls sich das jemand ansehen möchte.

Vielen Dank und einen schönen Abend zusammen!

Angehängte Dateien
Dateityp: zip pair.zip (55,6 KB, 100x aufgerufen)

Alt 01.06.2012, 20:06   #6
flo.at
 
locked-dateiname.abc.1234 - Stand bei 6KB-Version. - Standard

locked-dateiname.abc.1234 - Stand bei 6KB-Version.



Habe heute die original E-Mail mit Trojaner-Anhang wieder gefunden und an virus@trojaner-board.de geschickt.

Ich hoffe es kommt nochmal Bewegung in die Sache mit der 6KB-Version.

Viele Grüße!

Alt 01.06.2012, 21:10   #7
markusg
/// Malware-holic
 
locked-dateiname.abc.1234 - Stand bei 6KB-Version. - Standard

locked-dateiname.abc.1234 - Stand bei 6KB-Version.



kannst du die noch mal senden, mit nutzernamen?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 02.06.2012, 17:51   #8
flo.at
 
locked-dateiname.abc.1234 - Stand bei 6KB-Version. - Standard

locked-dateiname.abc.1234 - Stand bei 6KB-Version.



Der Nutzername stand zwar schon in der ersten E-Mail aber ich habs einfach noch einmal gesendet

Alt 09.06.2012, 01:18   #9
sebber
/// Helfer-Team
 
locked-dateiname.abc.1234 - Stand bei 6KB-Version. - Standard

locked-dateiname.abc.1234 - Stand bei 6KB-Version.



Hi,

beschäftige mich zwar gerade mit der 12k Version bin aber trotzdem sehr an der 6k Version interessiert.

PM appreciated

Alt 20.07.2012, 10:59   #10
TO_Webmaster
/// Helfer-Team
 
locked-dateiname.abc.1234 - Stand bei 6KB-Version. - Standard

locked-dateiname.abc.1234 - Stand bei 6KB-Version.



Hat es eigentlich mittlerweile jemand geschafft, diese Variante (6kb verschlüsselt, locked-Dateinamen) zu entschlüsseln? Die Unlock-Tools funktionieren jedenfalls nicht.

Alt 31.07.2012, 16:58   #11
flo.at
 
locked-dateiname.abc.1234 - Stand bei 6KB-Version. - Standard

locked-dateiname.abc.1234 - Stand bei 6KB-Version.



Sieht leider nicht so aus.
Scheinbar ist auch nur eine sehr kleine Gruppe davon betroffen und das Interesse deshalb praktisch nicht vorhanden.
Da es mich nicht selbst betrifft, sondern einen Bekannten, habe ich mich, aus Zeitmangel, bisher nicht selbst an einer Lösung versucht.

Falls du bis dahin etwas neues erfährst würde ich mich sehr über eine PM freuen!

Antwort

Themen zu locked-dateiname.abc.1234 - Stand bei 6KB-Version.
anderem, aufgegeben, austauschen, beschädigt, beschäftigt, bytes, daten, infiziert, konnte, langweilig, schließe, speicher, stand, teilweise, versuch, versucht, wirklich, ziemlich



Ähnliche Themen: locked-dateiname.abc.1234 - Stand bei 6KB-Version.


  1. Ordner unlöschbar, Dateiname zu lang
    Alles rund um Windows - 14.09.2015 (3)
  2. Der Dateiname oder die Erweiterung ist zu lang
    Alles rund um Windows - 09.10.2013 (1)
  3. Verschlüsselungstrojaner ohne Dateiname und locked
    Log-Analyse und Auswertung - 24.01.2013 (2)
  4. GVU Trojaner - Stand nach Systemwiederherstellung
    Plagegeister aller Art und deren Bekämpfung - 07.01.2013 (21)
  5. Bundestrojaner - Dateien verschlüsselt - aber nicht die locked Version
    Log-Analyse und Auswertung - 15.10.2012 (1)
  6. Verschlüsselungs-Trojaner (ohne Dateiname "locked-...")
    Diskussionsforum - 06.09.2012 (5)
  7. Windows Verschlüsselungstrojaner Variante mit locked im Dateiname
    Log-Analyse und Auswertung - 14.07.2012 (1)
  8. locked-Dateiname.xyza Problem nach Systemwiederherstellung von Scareware-Trojaner
    Log-Analyse und Auswertung - 10.06.2012 (1)
  9. locked- , meine Dateien sind locked---virus- trojaner-würmer ?
    Plagegeister aller Art und deren Bekämpfung - 10.06.2012 (1)
  10. Datenverschlüsselung des Typs: "locked-Dateiname.Dateiendung.zury"
    Log-Analyse und Auswertung - 20.05.2012 (7)
  11. Bundestrojaner kenne den Stand leider nicht!
    Log-Analyse und Auswertung - 11.05.2012 (1)
  12. Stand by und Ruhezustand fehlerhaft
    Alles rund um Windows - 01.06.2009 (2)
  13. Derzeitiger Stand meines Systems
    Log-Analyse und Auswertung - 08.03.2009 (1)
  14. System-CD auf aktuellem Stand erstellen
    Alles rund um Windows - 03.11.2008 (1)
  15. Devolo Verliert Inet by Stand-by
    Mülltonne - 06.09.2008 (0)
  16. Trojaner SubSeven entdeckt TCP Port 1234
    Plagegeister aller Art und deren Bekämpfung - 07.01.2007 (1)
  17. download.trojan dateiname: eied s7 c 402.exe HIILLFFEEEE !
    Plagegeister aller Art und deren Bekämpfung - 12.11.2005 (1)

Zum Thema locked-dateiname.abc.1234 - Stand bei 6KB-Version. - Ich habe mich die letzten 2 Tage etwas einschlägiger mit der "6KB-Version" beschäftigt; diese beschädigt die ersten 6144 Bytes einer Datei. Ich habe zuerst eine VM absichtlich infiziert und versucht - locked-dateiname.abc.1234 - Stand bei 6KB-Version....
Archiv
Du betrachtest: locked-dateiname.abc.1234 - Stand bei 6KB-Version. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.