Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 11.05.2012, 10:42   #1
wdammann
 
Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr - Standard

Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr



Hallo liebes Trojaner-Board-Team,

ich wurde gestern zur Unterstützung gerufen, weil 2 Rechner in einem kleinen
Firmennetzwerk mit der neusten Version des "Verschlüsselungstrojaners" am 09.05.2012 um 08:34 Uhr befallen wurden.

Es handelt sich hierbei um die folgende Variante des "BKA-Trojaner-Clones":



Als erstes habe ich, um überhaupt Zugriff auf die Systeme erhalten zu können, den entsprechenden Registry-Key-Eintrag, der für das Anstarten des Trojaners und die Sperrung des Systems verantwortlich ist, entfernt, und kann seit dem auf die Systeme zugreifen.

Als nächstes habe ich mit der geupdaten Malware-Antibytes Version einen Scan durchgeführt, 2 Funde davon wurden aber vom im Hintergrund laufenden Kaspersky-Virenscanner abgefangen und entfernt.

Nun hat man zwar wieder Zugriff auf das System, es sind jedoch alle User-spezifischen Daten wie JPG-, DOC-, PDF-Dateien und CO. nach dem üblichen Schema (vermutlich RC4-Verschlüsselung) gelocked, und weisen die Form "locked-<dateiname.endung>.xxxx auf, wobei "xxxx" zufällig generiert zu sein scheint.

Da mir von einigen Ordner glücklicherweise auch Original-Dateien zur Verfügung stehen, konnte ich versuchen, mit folgenden 6 Tools die Verschlüsselung rückgängig zu machen:

- Decrypt Helper 0.5.3 (02.05.12)
- SacreUncrypt (09.05.12)
- Trojan.Ransom.HM-Decrypt.V1.exe (Bitdefender)
- Matsnu1 Decryptor 1.0.0.3
- Ransom File unlocker (Avira, vom 30.04.12)
- Kaspersky RannohDecryptor V1.1.0.0


Alle Versuche sind bislang erfolglos geblieben, die meiste Aussicht auf Erfolg hatte bislang "ScareUncrypt", da sich mit dessen Hilfe mit den Original- und Crypted-Files zumindest ein Key generieren ließ, der Decrypt-Prozess dann angestartet werden konnte, die Files wieder umbenannt wurden, der Inhalt der Dateien jedoch weiterhin unbrauchbar ist.

Nun meine Fragen zur weiteren Vorgehensweise:

- Soll ich Euch ein paar Original-Files mit den dazugehörigen Crypted-Files zusenden?

- Braucht Ihr ein OTL-Log-File der betroffenden Rechner? Ich habe das Tool noch nicht benutzt, aber Eure Anleitung dazu hier im Board gefunden. Um das Tool nutzen zu können, würde ich eine Installation einer Fernwartungssoftware auf einem der Rechner veranlassen, um das Tool dort laufen zu lassen und die Logfiles zu erzeugen.


Vielen Dank schon mal im Voraus für Eure Mühe!!!


Mit freundlichen Grüßen,

Wilfried Dammann

Alt 11.05.2012, 11:13   #2
Nusshund
/// Helfer-Team
 
Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr - Standard

Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr



Hallo,

ich schreib dir mal markusg seinen Text hier rein:
hi,
damit alle diese malware erkennen:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

und ein Dateipaar kannst Du mit nennung Deines Namens hier im Forum an: spamdb@bitfox24.de senden.
Ansonsten ist nur Abwarten angesagt.
__________________


Alt 11.05.2012, 11:42   #3
wdammann
 
Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr - Standard

Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr



Hallo nochmal,

vielen Dank für die schnelle Antwort. Ich habe ein Dateipaar an die Adresse "spamdb@bitfox24.de" gesendet. Was die ursprüngliche Mail, die diesen Trouble ausgelöst hat betrifft, muss ich schauen, ob ich die markusg zukommen lassen kann.

Vielen Dank erstmal soweit und bis in Kürze,

Wilfried Dammann
__________________

Alt 11.05.2012, 11:44   #4
Nusshund
/// Helfer-Team
 
Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr - Standard

Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr



Zitat:
Zitat von wdammann Beitrag anzeigen
Hallo nochmal,

vielen Dank für die schnelle Antwort. Ich habe ein Dateipaar an die Adresse "spamdb@bitfox24.de" gesendet. Was die ursprüngliche Mail, die diesen Trouble ausgelöst hat betrifft, muss ich schauen, ob ich die markusg zukommen lassen kann.

Vielen Dank erstmal soweit und bis in Kürze,

Wilfried Dammann
sollte die mail nicht verschickt werden können dann bitte die eml zippen und mit passwort versehen sonst blockt der provider unter umständen

Alt 11.05.2012, 12:02   #5
wdammann
 
Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr - Standard

Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr



Mein Provider hat nichts angemeckert, das Dateipaar habe ich als ZIP-File (ohne PW) als Anhang angefügt.

Na schaunmermal.....


Alt 11.05.2012, 18:20   #6
Nusshund
/// Helfer-Team
 
Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr - Standard

Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr



Zitat:
Zitat von wdammann Beitrag anzeigen
Mein Provider hat nichts angemeckert, das Dateipaar habe ich als ZIP-File (ohne PW) als Anhang angefügt.

Na schaunmermal.....
der provider meckert auch nur beim virus sprich der eml datei

Alt 11.05.2012, 20:36   #7
wdammann
 
Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr - Standard

Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr



Alles klar, ich habe die betreffenden Ansprechpartner informiert, sodaß diese vor Ort die Mail aus Thunderbird extrahieren und als .eml Datei dann weiterleiten.

Das Dateipaar (Original/Encrypted) habe ich ja bereits gesendet.


Einen schönen Abend noch und schon mal ein schönes WE gewünscht,

W.Dammann

Alt 14.05.2012, 13:18   #8
wdammann
 
Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr - Standard

Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr



Hallo zusammen,

ich habe eine Mail mit der *.eml-Datei (gezipped, mit dem PW "markusg" versehen) und ein Dateipaar (Orig/Crypted) an die Adresse "http://markusg.trojaner-board.de" gesendet.


Vielen Dank für Euer aller Mühen und viele Grüße,

Wilfried Dammann

Alt 14.05.2012, 17:41   #9
markusg
/// Malware-holic
 
Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr - Standard

Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr



hi danke.
im moment wirst du leider noch warten müssen, bis eines der tools nen update erhält.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 14.05.2012, 18:25   #10
wdammann
 
Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr - Standard

Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr



Alles klar. Danke Dir erstmal soweit, der Tee zum Abwarten ist bereits gekocht.... ^^

LG,

Wilfried Dammann

Alt 21.05.2012, 09:16   #11
wdammann
 
Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr - Standard

Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr



Hallo zusammen,

ich schaue jeden Tag hier vorbei um zu sehen, was es zur o.g. Problematik an neuen Erkenntnissen gibt. Aber leider schaffen die (nunmehr) 7 Tools bislang noch keine Abhilfe.
Die infizierten Rechner wurden bereits neu installiert, ein Imagingverfahren implementiert und sind mittels Fernwartung für mich erreichbar, nur habe ich immer noch das Problem, dass ich einen Ordner mit nicht gerade unwichtigen Daten entschlüsseln muß.

Eine weitere Suche im WEB verlief bislang auch erfolglos, bzw. man landet im Endeffekt auch wieder hier im Forum.

Wie ist Eurer Meinung nach die Einschätzung auf Erfolg? Ich war am Anfang letzter Woche noch ziemlich euphorisch, nur nach den ganzen Meldungen, die sich häufen, schwindet meine Zuversicht so ganz allmählich.....

CU und LG,

Wilfried Dammann

Alt 22.05.2012, 17:29   #12
markusg
/// Malware-holic
 
Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr - Standard

Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr



so was dauert nun mal seine zeit, leider.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 30.05.2012, 20:33   #13
wdammann
 
Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr - Standard

Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr



Das neue Tool Panda UnRansom gestestet... leider auch ohne Erfolg.....

Antwort

Themen zu Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr
anleitung, avira, bitdefender, bka-trojaner, decryptor, defender, file, folge, frage, helper, hintergrund, installation, locked, locker, logfiles, netzwerk, nutzen, ordner, rechner, rückgängig, scan, scanner, scareuncrypt, starten, systeme, tools, unlocker, verschlüsselungstrojaner, version, zufällig, zugriff



Zum Thema Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr - Hallo liebes Trojaner-Board-Team, ich wurde gestern zur Unterstützung gerufen, weil 2 Rechner in einem kleinen Firmennetzwerk mit der neusten Version des "Verschlüsselungstrojaners" am 09.05.2012 um 08:34 Uhr befallen wurden. Es - Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr...
Archiv
Du betrachtest: Verschlüsselungstrojanerbefall am 09.05.12 08:34 Uhr auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.