Zurück   Trojaner-Board > Archiv - Kein Posten möglich > Mülltonne

Mülltonne: Lizenz Trojaner verschlüsselte und originale Datei erst ab Byte 11264 (x'2c00) gleich

Windows 7 Beiträge, die gegen unsere Regeln verstoßen haben, solche, die die Welt nicht braucht oder sonstiger Müll landet hier in der Mülltonne...

 
Alt 11.05.2012, 11:33   #1
frrf
 
Lizenz Trojaner verschlüsselte und originale Datei erst ab Byte 11264 (x'2c00) gleich - Standard

Lizenz Trojaner verschlüsselte und originale Datei erst ab Byte 11264 (x'2c00) gleich



Beim PC (Windows XP) einer Bekannten hat der Lizenztrojaner zugeschlagen. Sie hatte eine Mail geöffnet, und die sich im Attachement befindliche Datei "zahlschein.exe" ausgeführt. Eine externe Sicherung der Daten gibt es natürlich nicht. Sieht genauso aus wie in Eurem Video. Bei solchen Problemen gehe ich immer so vor:
-Mit ACRONIS-CD einen Clone der Festplatte erstellen.
-PC komplett neu aufsetzten
-Vom Clone die Daten kopieren

Und dann die böse Überraschung. Es gab, von ein paar Fotos im Ordner Digicam abgesehen, nur mehr noch Dateien im Format: locked-<originaler Dateiname>.<eine vierstellige Buchstabenkombination>

Alle, mit denen von Euch vorgestellten Tools, auch mit DecryptHelper-0.5.3.jar zu entschlüsseln sind fehlgeschlagen. Ich habe die beiden (im Anhang) binär verglichen, und stellte fest, dass diese erst ab dem Byte 11264 (x'2c00) wieder gleich sind und nicht wie angenommen ab Byte 4096.

Der Trojaner wurde angeblich von CISCO am 4.5.2012 das erste Mal entdeckt. Ihre Dateien wurden am gleichen Tag verschlüsselt. Avira hatte nicht angeschlagen.

Vielleich könnt Ihr mir weiterhelfen.

Besten Dank im Voraus
Angehängte Dateien
Dateityp: zip Blaue Berge.zip (54,0 KB, 70x aufgerufen)

Alt 11.05.2012, 12:50   #2
markusg
/// Malware-holic
 
Lizenz Trojaner verschlüsselte und originale Datei erst ab Byte 11264 (x'2c00) gleich - Standard

Lizenz Trojaner verschlüsselte und originale Datei erst ab Byte 11264 (x'2c00) gleich



hi,
1. die infektionsquelle war warscheinlich ne mail, für die zukunft gilt deswegen:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

2.
welche tools hast du zum entschlüsseln versucht?
__________________

__________________

Alt 11.05.2012, 13:16   #3
frrf
 
Lizenz Trojaner verschlüsselte und originale Datei erst ab Byte 11264 (x'2c00) gleich - Standard

Lizenz Trojaner verschlüsselte und originale Datei erst ab Byte 11264 (x'2c00) gleich



Hi,
natürlich war es eine Mail, wie bereits beschrieben.
Da ich den PC neu aufgesetzt hatte, ist der Trojaner vom PC natürlich weg.
Ich nur mehr das Problem mit den verschlüsselten Dateien.
Ich habe alle im Trojaner-Board.de angeführten Tools probiert, ohne Erfolg.
In einem Video wird gesagt, das dieser Trojaner nur die ersten 4096 Byte verschlüsselt; diese Tools versuchen anscheinend den Schlüssel aus diesen 4096 Byte zu errechnen.
was ist aber wenn die ersten 11264 Byte verschlüsselt sind.

Wenn es euch nützt werde ich versuchen, die originale Mail an Euch weiterzuleiten.

mfg
__________________

Alt 11.05.2012, 15:02   #4
markusg
/// Malware-holic
 
Lizenz Trojaner verschlüsselte und originale Datei erst ab Byte 11264 (x'2c00) gleich - Standard

Lizenz Trojaner verschlüsselte und originale Datei erst ab Byte 11264 (x'2c00) gleich



wenn du sie noch hast, ja.
naja, das vidio wurde nun mal nicht aktualisiert, die malware schon.
es gibt seit ner weile variannten, wo die verschlüsselung angepasst wurde.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 11.05.2012, 18:47   #5
frrf
 
Lizenz Trojaner verschlüsselte und originale Datei erst ab Byte 11264 (x'2c00) gleich - Standard

Lizenz Trojaner verschlüsselte und originale Datei erst ab Byte 11264 (x'2c00) gleich



Hi,
Danke für die schnelle Antwort; Ich wollte Euch direkt auf Euer Mail antworten.
Funktioniert nicht; siehe weiter unten. Leider wird mir in dieser Antwort kein Attachement mehr angeboten. Bitte sagt mir, wie ich Euch die Datei
04.05.2012.zip zukommen lassen kann.

Der Inhalt: (Empfängername geändert)

Von: rafareb@terra.com.br <rafareb@terra.com.br>
Datum: Freitag, 4. Mai 2012 08:19
Betreff: Warenerwerb Renata K. 08377812578 (Name von mir geändert)

Inhalt:

Sehr geehrte/r Renata K.,

Ihr Mitglieds-Konto wurde aktiviert.
820,25 Euro Teilnehmerbeitrag ist ab sofort zu bezahlen.

Die Zahlung wird innerhalb 2 Tagen entzogen.
Sie werden bald angerufen und ein Termin wird ausgemacht.
Artikelauflistung und Storno Hinweise finden Sie in beigefügter Datei.

Garahe GmbH
Bleckering 51
47768 Giessen

Telefon: (+49) 700 0529581
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Hannover
Umsatzsteuer-ID: DE645960889
Geschäftsfuehrer: John Schneider

Das Attachement: 04.05.2012.zip

Dieses Mäderl ist vollkommen fertig. Dissertation, Seminare, Schulungsunterlagen ... alles weg.

Besten Dank im Voraus

Franz


Meldung von GMX:


Liebes GMX Mitglied,

in einer von Ihnen verschickten E-Mail wurde ein Virus gefunden.

Datei: "Zahlschein.exe"
Virus: "Trojan.FakeAV"

Die E-Mail wurde nicht an den Empfänger weitergeleitet. Verwenden Sie bitte einen lokalen Virenscanner, um Ihren PC zu überprüfen.

Es folgen Details zu der betroffenen E-Mail:

Von: ...
An: ...
Datum: Fri, 11 May 2012 18:02:56 +0200
Betreff: Re: Neue Antwort im Thema 'Lizenz Trojaner verschlüsselte und originale Datei erst ab Byte 11264 (x'2c00) gleich'


Alt 12.05.2012, 19:51   #6
markusg
/// Malware-holic
 
Lizenz Trojaner verschlüsselte und originale Datei erst ab Byte 11264 (x'2c00) gleich - Standard

Lizenz Trojaner verschlüsselte und originale Datei erst ab Byte 11264 (x'2c00) gleich



wieso hast du noch nen thema eröffnet?

http://www.trojaner-board.de/115041-...h-achtung.html
__________________
--> Lizenz Trojaner verschlüsselte und originale Datei erst ab Byte 11264 (x'2c00) gleich

 

Themen zu Lizenz Trojaner verschlüsselte und originale Datei erst ab Byte 11264 (x'2c00) gleich
angeblich, anhang, avira, cisco, datei, dateien, dateiname, daten, entdeck, entschlüsseln, erste mal, festplatte, format, komplett, lizenz, mail, natürlich, neu, ordner, platte, probleme, schlüsseln, sicherung der daten, tools, trojaner, windows, windows xp



Ähnliche Themen: Lizenz Trojaner verschlüsselte und originale Datei erst ab Byte 11264 (x'2c00) gleich


  1. BKA Trojaner verschlüsselte Dateinamen, wiederherstellbar?
    Log-Analyse und Auswertung - 06.01.2014 (9)
  2. 0 Byte Dateien
    Plagegeister aller Art und deren Bekämpfung - 24.02.2013 (1)
  3. Wie kann ein 0 Byte object ein Trojaner sein (rundll32.dll)?
    Plagegeister aller Art und deren Bekämpfung - 06.11.2012 (5)
  4. Polizei Trojaner - verschlüsselte Dateien
    Plagegeister aller Art und deren Bekämpfung - 03.09.2012 (1)
  5. Verschlüsselte Dateien nach Trojaner (Bundespolizei)
    Plagegeister aller Art und deren Bekämpfung - 17.08.2012 (2)
  6. Durch Trojaner verschlüsselte Dateien wiederherstellen
    Plagegeister aller Art und deren Bekämpfung - 13.06.2012 (2)
  7. verschlüsselte Daten - Windows update Trojaner-
    Plagegeister aller Art und deren Bekämpfung - 11.06.2012 (4)
  8. Windows Update Trojaner - verschlüsselte Daten
    Log-Analyse und Auswertung - 06.06.2012 (11)
  9. Lizenz-Trojaner auf dem PC
    Log-Analyse und Auswertung - 29.05.2012 (11)
  10. Windows Lizenz Trojaner
    Log-Analyse und Auswertung - 15.05.2012 (5)
  11. Lizenz Trojaner verschlüsselte und originale Datei erst ab Byte 11264 (x'2c00) gleich Achtung
    Plagegeister aller Art und deren Bekämpfung - 12.05.2012 (1)
  12. Lizenz Trojaner sperrt Windows
    Plagegeister aller Art und deren Bekämpfung - 11.05.2012 (1)
  13. Windows-Verschlüsselungs-Trojaner - Originaldatei größer als verschlüsselte Datei
    Log-Analyse und Auswertung - 30.04.2012 (14)
  14. Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz
    Nachrichten - 13.04.2011 (0)
  15. Dateien mit TR/Dldr.Alphabet.11264.51 werden erzeugt
    Log-Analyse und Auswertung - 09.01.2008 (2)
  16. Ich Verliere Byte??
    Alles rund um Windows - 03.06.2006 (8)

Zum Thema Lizenz Trojaner verschlüsselte und originale Datei erst ab Byte 11264 (x'2c00) gleich - Beim PC (Windows XP) einer Bekannten hat der Lizenztrojaner zugeschlagen. Sie hatte eine Mail geöffnet, und die sich im Attachement befindliche Datei "zahlschein.exe" ausgeführt. Eine externe Sicherung der Daten gibt - Lizenz Trojaner verschlüsselte und originale Datei erst ab Byte 11264 (x'2c00) gleich...
Archiv
Du betrachtest: Lizenz Trojaner verschlüsselte und originale Datei erst ab Byte 11264 (x'2c00) gleich auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.