Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Neue Version des Verschlüsselungstrojaners anderer Schlüssel

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 11.05.2012, 11:38   #1
Wannabe89
 
Neue Version des Verschlüsselungstrojaners anderer Schlüssel - Standard

Neue Version des Verschlüsselungstrojaners anderer Schlüssel



Guten Tag,

ich habe die letzten Tage viel mit dem Trojaner um die Ohren gehabt.
Das wiederherstellen der Dateien hat auch immer geklappt.

Jetzt habe ich hier 2 Clients stehen, bei denen es wohl eine neue Version des Trojaners ist.

Den Trojaner habe ich entfernt.
Die Meldung sah ein bisschen anders aus als bei der ersten Version.
Bei einem der Clients konnte ich mit Scareuncrypt die Daten wiederherstellen.
Der unlocker von Avira funktionierte garnicht.
Das Java tool hier aus dem Forum auch nicht.

Bei dem anderen Client, entschüsselt mir scareuncrypt zwar die Daten scheinbar alle, aber diese sind dann nicht brauchbar, also immernoch nicht korrekt entschüsselt.

Hat sich die verschlüsselungstechnik in der Neuen Version verändert?
Gibt es schon ein Neues Tool das den schüssel errechnen kann?
Was genau hat sich verändert?

Sry das ich ein Thread aufmache aber ich blicke schon nicth mehr durch.

Und was war eig. die Letzten 2 Tage mit dem Board los? bzgl erreichbarkeit?


LG

Alt 11.05.2012, 11:44   #2
markusg
/// Malware-holic
 
Neue Version des Verschlüsselungstrojaners anderer Schlüssel - Standard

Neue Version des Verschlüsselungstrojaners anderer Schlüssel



hi,
1. ohne die malware zu sehen ist das immer schwierig.
infektions quelle war wohl ne mail.
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

2. wegen dem board, weis nicht ob der admin da noch was schreiben wird.
__________________

__________________

Alt 11.05.2012, 11:54   #3
Wannabe89
 
Neue Version des Verschlüsselungstrojaners anderer Schlüssel - Standard

Neue Version des Verschlüsselungstrojaners anderer Schlüssel



Mails habe ich sicherlich schon 15 von infizierten Clients aufgehoben.
Diese darf ich aber aus Datenschutzrechtlichen Gründen nicht weiterleiten, da Sie alle schön Förmlich mit Anschrift gekommen sind.

Man kann halt noch soviele Rundmails schicken, eine Tante wird die Rechnung.exe wohl immer öffnen =(

bzgl. der neuen verschlüsselung?
Kann ich da vllt ein paar mehr infos haben?
gibt es schon fälle wo jemand mit den Standart encrypter nicht weitergekommen ist?

LG
__________________

Alt 11.05.2012, 11:58   #4
markusg
/// Malware-holic
 
Neue Version des Verschlüsselungstrojaners anderer Schlüssel - Standard

Neue Version des Verschlüsselungstrojaners anderer Schlüssel



dann mach die adressen halt unkenntlich.
und ja, gibts :-)
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 11.05.2012, 18:48   #5
reggie
 
Neue Version des Verschlüsselungstrojaners anderer Schlüssel - Standard

Neue Version des Verschlüsselungstrojaners anderer Schlüssel



Tag leute.
Also dieser Verschlüsselungstrojaner bekommt man von einer angeblichen Rechnungsmail oder???

Habe auch so eine Mail bekommen aber nicht geöffnet war gewarnt, da fast alle User von "Cinefacts" eine solche Mail bekommen haben und man davon ausging das die Mail Adressen des Boards gestohlen wurden.
Siehe hier:

hxxp://forum.cinefacts.de/225690-habt-ihr-euch-die-e-mail-adressen-eurer-mitglieder-klauen-lassen-8.html#post7578489

Hier mal eine Mailanalyse von einem Anderen User:
Code:
ATTFilter
Subject: *** VIRUS ***Registrationsbeitrag deiner Creditkarte für 2012 Nummer 9129533192
From: <danielle.vandersteen@zwijsencollege.nl>
To: ich
From - Thu May 10 15:29:32 2012
X-Account-Key: account3
X-UIDL: 0Lpcz0-1Rxtz30a06-00fOdc
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys: 
Return-Path: danielle.vandersteen@zwijsencollege.nl
Received: from ch1outboundpool.messaging.microsoft.com ([216.32.181.181]) by
mx-ha.web.de (mxweb003) with ESMTP (Nemesis) id 0Lpcz0-1Rxtz30a06-00fOdc for
<ich>; Wed, 09 May 2012 07:42:35 +0200
Received: from mail59-ch1-R.bigfish.com (10.43.68.240) by
CH1EHSOBE017.bigfish.com (10.43.70.67) with Microsoft SMTP Server id
14.1.225.23; Wed, 9 May 2012 05:42:19 +0000
Received: from mail59-ch1 (localhost [127.0.0.1])	by mail59-ch1-R.bigfish.com
(Postfix) with ESMTP id 50A991A0806	for <ich>; Wed, 9 May
2012 05:42:19 +0000 (UTC)
X-SpamScore: 21
X-BigFish: PS21(z3e13hzc89bhc85dhzz1202hzzd0f34hz2dh2a8h668h8 39hd2bhbfcim34h)
X-Forefront-Antispam-Report: CIP:157.55.11.7;KIP:(null);UIP:(null);IPV:NLI;H:AM SPRD0204HT008.eurprd02.prod.outlook.com;RD:none;EF VD:NLI
Received: from mail59-ch1 (localhost.localdomain [127.0.0.1]) by mail59-ch1
(MessageSwitch) id 1336542137569750_22836; Wed, 9 May 2012 05:42:17 +0000
(UTC)
Received: from CH1EHSMHS021.bigfish.com (snatpool3.int.messaging.microsoft.com
[10.43.68.225])	by mail59-ch1.bigfish.com (Postfix) with ESMTP id 85BE1604FD
for <ich>; Wed, 9 May 2012 05:42:17 +0000 (UTC)
Received: from AMSPRD0204HT008.eurprd02.prod.outlook.com (157.55.11.7) by
CH1EHSMHS021.bigfish.com (10.43.70.21) with Microsoft SMTP Server (TLS) id
14.1.225.23; Wed, 9 May 2012 05:42:17 +0000
Received: from server (61.33.11.18) by pod51007.outlook.com (10.16.196.81)
with Microsoft SMTP Server (TLS) id 14.15.74.0; Wed, 9 May 2012 05:42:19
+0000
MIME-Version: 1.0
Date: Wed, 9 May 2012 14:48:50 +0900
X-Priority: 3 (Normal)
X-Mailer: Ximian Evolution 2.0.1 (2.0.1-6)
Subject: *** VIRUS ***=?iso-8859-1?Q?Registrationsbeit?=
=?iso-8859-1?Q?rag_deiner_Credit?=
=?iso-8859-1?Q?karte_f=FCr_2012_Nu?=
=?iso-8859-1?Q?mmer_9129533192?=
From: <danielle.vandersteen@zwijsencollege.nl>
To: <ich>
Content-Type: multipart/mixed;
boundary="-----_chilkat_d44_a9b7_7fa72f68.ba718ca1_.MIX"
Message-ID: <CHILKAT-MID-34b2092d-7420-fabf-6c2d-82cf0aba9e0b@server>
X-Originating-IP: [61.33.11.18]
X-OriginatorOrg: zwijsencollege.nl
Envelope-To: <ich>
X-UI-Filterresults: ;V01:K0:9OhZRP4r:iytyEKcIEvAKXK4B2ELI0jHjTWsJDZCgz 3f
RYg8LXyfiSMtgUhBt8Bo8XBUxBrXU3jyGDXNeIRlRBxpQl/I+ON6x72vxSj1g3ZUgrztsGF
zLKCHLeGk+qtLi6Y+KP7zrLL8jB5gcNK6D7EnDtUehLcLj3ksn nuRhqQkIEv5LZGWQ51A0T
z16V83BCVrpS/eAIL7CXe9QfY+0ung8qro/8Q==
X-Antivirus: avast! (VPS 120510-0, 10.05.2012), Inbound message
X-Antivirus-Status: Infected
X-Attachment: Rechnung2012.zip#3093325646|>Rechnung2012.exe	Virus: Win32:Malware-gen	Deleted
Subject: *** VIRUS ***Registrationsbeitrag deiner Creditkarte für 2012 Nummer 9129533192
From: <danielle.vandersteen@zwijsencollege.nl>
To: ich
         
Ist das jetzt eine grössere Welle die durchs netz zieht oder liegt es nur an diesem Board(Cinefacts) ?

Wenn du mir sagst wie ich meine Mail die ich bekommen habe analysieren soll könnte ich das für dich machen


Alt 14.05.2012, 08:53   #6
digitalpit
 
Neue Version des Verschlüsselungstrojaners anderer Schlüssel - Standard

Neue Version des Verschlüsselungstrojaners anderer Schlüssel



Also wir haben dasselbe Problem ist ein neuer Schlüssel.
Die Kunden warten jetzt halt ab ob wir noch was erreichen können.

mfg Pit

Alt 15.05.2012, 00:22   #7
leahciM
 
Neue Version des Verschlüsselungstrojaners anderer Schlüssel - Standard

Neue Version des Verschlüsselungstrojaners anderer Schlüssel



Guten Morgen.

Ich habe mir heute mit dieser neuen Variante den halben Tag um die Ohren geschlagen.

Ich hatte am 2.5. mit diesem RansomDing schon zu tun, so war meine Auskunft zum Kunden (*s.u.) heute nachmittag, dass er mal den Rechner rumbringen sollte, ich würde ihm das wieder richten..... jaja, soviel dazu.

Übliche Vorgehensweise: mit Kaspersky Rescue Disc Schädlinge entfernen, dann mit UBD4Win booten und mit SpyBot und RegEdit Registry säubern, anschließend ins Win booten, fertig.

Das Protokoll von Kaspersky wartete denn auch mit einigen Einträgen auf: siehe Anhang report20120514.txt

Was mir nur beim Scannen schon auffiel, es gab gar keine locked*-Dateien wie letztes Mal. Alle Dateien, die ich betrachtete hatte kryptische Namen ohne Erweiterung.
Einen Screenshot aus XP heraus habe ich mal angehängt.

Ich habe dann mal mit den mittlerweile sechs(?) RansomTools versucht, die Datei (eine davon) zu entschlüsseln, welches jedesmal scheiterte an der nicht vorhandenen Originaldatei. Auch nach Finden einer entsprechenden Datei waren die Tools nicht in der Lage, zu helfen.

Verschlüsselt werden auch bei dieser Version die Treiber- und Installations-Ordner, sowie sämtliche Dateien unterhalb von "Dokumente und Einstellungen". Der fehlende Original-Dateiname macht es nur besonders schwer, eine Vergleichsdatei zu finden. Ich bin dann auf einen Treiberinstallationsordner gestoßen, den ich anhand des Ordnernamens neu herrunterladen konnte.

Mit Hilfe mehrerer der Dateien (siehe Anhang) konnte ich dann rausfinden, dass die Verschlüsselung genau 12288 Bytes lang ist. Danach geht die Datei unverschlüsselt weiter. Inwieweit allerdings der Original-Dateiname "vsetC.dll" zu "LTpsxQvyAslfdNOLEpaG" kryptiert wird, habe ich allerdings noch nicht rausgefunden. (data1.cab --> UXXLLggddDDAAQQstTT // data2.cab --> XXAAOOxxlDEEQuddTTyq)

Eine weitere sehr merkwürdige Angelegenheit ist die, dass Datein, bei denen die ersten Bytes identisch sind, trotzdem unterschiedlich verschlüsselt sind. So gibt es zwei data(1/2).cab Dateien, die in ersten 28 Bytes identisch sind, in der verschlüsselten Version jedoch ab Byte Nr. 1 unterschiedlich.

So vermute ich, dass irgendwie der Dateiname mit zum Schlüssel beitragen muss.

Wenn jemand die Bösewichter im Original haben möchte, müsste mir Bescheid geben, dann kram ich die wieder aus der Quarantäne hervor.


Michael


*PS: Ich bin zwar selbstständig im IT-Gewerbe tätig, will aber hier keinen Vorteil durch erschleichen, sondern mithelfen, diesen Viechern Herr zu werden. Biete hierzu auch meine Programmierkenntnisse an.
Angehängte Grafiken
Dateityp: png ordner-eigenedateien.png (36,0 KB, 690x aufgerufen)

Alt 15.05.2012, 16:59   #8
leahciM
 
Neue Version des Verschlüsselungstrojaners anderer Schlüssel - Standard

Neue Version des Verschlüsselungstrojaners anderer Schlüssel



Hallo.

Zwischenstand.

Ich habe heute das Notebook des gleichen Kunden bekommen, dort läuft Win7Pro. Er fragte zwar, was er mit der Mail machen sollte - natürlich löschen, was er auch tat. Allerdings wurde vorher schon einmal der Anhang aktiviert. Prima.

Nachdem ich das NB heute mittag zu Gesicht bekam, war ich etwas überrascht. Der Trojaner hat sich installiert, wohl aber "nur" mit User- nicht mit Admin-Rechten.

Aktiv war er beim Booten, jedoch wurde keine Datei verschlüsselt. Alle Dateien noch im Originalzustand. Und das, obwohl das NB mehrere Male abgeschaltet und wieder in Betrieb genommen wurde.

Die schädlichen Dateien habe ich sichergestellt und ich versuche jetzt/morgen mal wieder eine VM in Betrieb zu nehmen und mal das Unglück sein Lauf lassen und dann die Differenzen zu begutachten.


Michael

Alt 17.05.2012, 10:34   #9
Afritz
 
Neue Version des Verschlüsselungstrojaners anderer Schlüssel - Standard

Neue Version des Verschlüsselungstrojaners anderer Schlüssel



Hallo
Habe heute so eine Rechung bekommen, dann waren sie da die trojaner, es geht auf dem laufwerk c nichts mehr, nur mehr so komische zeichen, wie kann ich die datein wider bereinigen. bin für jede hilfe dankbar..

Alt 17.05.2012, 11:24   #10
markusg
/// Malware-holic
 
Neue Version des Verschlüsselungstrojaners anderer Schlüssel - Standard

Neue Version des Verschlüsselungstrojaners anderer Schlüssel



hi,
kommst du noch an die mail?
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

was meinst du mit komischen zeichen?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 17.05.2012, 14:02   #11
spezibaer
 
Neue Version des Verschlüsselungstrojaners anderer Schlüssel - Standard

Neue Version des Verschlüsselungstrojaners anderer Schlüssel



Hallo,
habe gerade einen Kundenrechner mit eben diesem Problem.
Der Trojaner installierte sich hier nur unter dem User, über den Adminaccount konnte ich Windows problemlos starten. Leider liegen die wichtigen Daten auf "d" und sind dort bis auf ein Excelfile alle kryptisch verschlüsselt. Verschlüsselte Dateien auf "c" habe ich bis jetzt noch nicht finden können.

Alles Versuche mit Tools welche zum entschlüseln Orginal mit Verschlüsselter Datei vergleichen scheiterten bisher.
Ich habe mit der Systemwiederherstellung den Rechner 2 Tage zurückgesetzt, kann sich das evtl. negativ auf die Entschlüslungsversuche auswirken / ausgewirkt haben?

Was gibt es noch was ich versuchen könnte.


Grüße
Spezibaer

Alt 17.05.2012, 14:38   #12
markusg
/// Malware-holic
 
Neue Version des Verschlüsselungstrojaners anderer Schlüssel - Standard

Neue Version des Verschlüsselungstrojaners anderer Schlüssel



hi, nach welchem chema sind die dateien verschlüsselt?
also wie sind die datei namen genau?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 17.05.2012, 14:59   #13
Crypt0815
 
Neue Version des Verschlüsselungstrojaners anderer Schlüssel - Standard

Neue Version des Verschlüsselungstrojaners anderer Schlüssel



Hallo,
auch ich habe einen Rechner hier, der verschlüsselt wurde.
Ich kann Dateien zur Verfügung stellen (original und verschlüsselt).
Es werden wie Michael schreib die ersten 12288 (3000h) Bytes verschlüsselt.
Beispiel für Dateinamen:
Crypt: GyXsxJEXTxrEnTfNgnDf
Original: Wüste.jpg

Crypt: QqTlVOqAlsOQAstGun
Original: Chrysantheme.jpg

Für jede Hile zu Entschlüsselung bin ich sehr dankbar!
Grüße

Alt 17.05.2012, 15:06   #14
spezibaer
 
Neue Version des Verschlüsselungstrojaners anderer Schlüssel - Standard

Neue Version des Verschlüsselungstrojaners anderer Schlüssel



Hallo,

Ordnerstrucktur ist erhalten Dateinamen sehen in etwa so aus

"dotXusEsogDrpAUs"
"EsydyregGAGaJTyGqJDrp"

es sind imer Groß- und Kleinbuchstaben, keine Ziffern und Sonderzeichen verschiedene Länge.
Dateigröße und Änderungsdatum sind soweit OK.

Grüße
Spezibaer

Alt 17.05.2012, 15:23   #15
markusg
/// Malware-holic
 
Neue Version des Verschlüsselungstrojaners anderer Schlüssel - Standard

Neue Version des Verschlüsselungstrojaners anderer Schlüssel



hi,
im moment können wir da nichts weiter tun, sorry.
höchstens nutzer vor infektionen schützen,
deswegen:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu Neue Version des Verschlüsselungstrojaners anderer Schlüssel
andere, anderen, anderer, avira, board, clients, crypt, dateien, daten, forum, guten, java, korrekt, locker, meldung, neue, neue version, neuen, neues, scareuncrypt, thread, tool, trojaner, trojaners, unlocker, version, verändert, wiederherstellen




Ähnliche Themen: Neue Version des Verschlüsselungstrojaners anderer Schlüssel


  1. Neue Version BKA- Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 12.10.2013 (5)
  2. GVU Trojaner (neue Version)
    Plagegeister aller Art und deren Bekämpfung - 09.07.2013 (15)
  3. Neue GitHub-Suchfunktion offenbart geheime SSH-Schlüssel
    Nachrichten - 25.01.2013 (0)
  4. BKA Trojaner neue version
    Plagegeister aller Art und deren Bekämpfung - 08.12.2012 (2)
  5. Neue Version von Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 12.09.2012 (9)
  6. Neue Version Verschlüsslungstrojaner
    Log-Analyse und Auswertung - 10.06.2012 (1)
  7. Neue Art des Verschlüsselungstrojaners ................
    Log-Analyse und Auswertung - 17.05.2012 (3)
  8. Neue version des bka trojaners
    Plagegeister aller Art und deren Bekämpfung - 27.01.2012 (1)
  9. neue version von SmitFraud?
    Plagegeister aller Art und deren Bekämpfung - 01.07.2008 (9)
  10. XP von OEM-Version auf neue Festplatte?
    Alles rund um Windows - 18.03.2008 (4)
  11. Spybot SD Version 1.4 RC (Neue Version)
    Antiviren-, Firewall- und andere Schutzprogramme - 25.05.2006 (13)
  12. Tojanerscanner a² - neue Version
    Antiviren-, Firewall- und andere Schutzprogramme - 04.03.2005 (6)
  13. Neue Version von STINGER
    Antiviren-, Firewall- und andere Schutzprogramme - 21.02.2005 (1)
  14. Neue Stinger Version 2.5.0.
    Antiviren-, Firewall- und andere Schutzprogramme - 18.02.2005 (4)
  15. Neue Thunderbird-Version 0.5
    Alles rund um Windows - 13.02.2004 (0)

Zum Thema Neue Version des Verschlüsselungstrojaners anderer Schlüssel - Guten Tag, ich habe die letzten Tage viel mit dem Trojaner um die Ohren gehabt. Das wiederherstellen der Dateien hat auch immer geklappt. Jetzt habe ich hier 2 Clients stehen, - Neue Version des Verschlüsselungstrojaners anderer Schlüssel...
Archiv
Du betrachtest: Neue Version des Verschlüsselungstrojaners anderer Schlüssel auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.