Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Neue Verschlüsselungs-Trojaner Variante im Umlauf

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 30.05.2012, 07:11   #391
fdy
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Huhu Devil,

davon würde ich nicht ausgehen, wenn du dass im Bezug auf den Virus meinst,
wenn er jede Datei erst lesen, ändern, schreiben würde, käme er nicht
auf diese affige Performance beim verschlüsseln.

Da können wir ganz stumpf davon ausgehen, dass er tatsächlich die Datei von
Platte nimmt, die ersten Bytes stumpf überschreibt und den
Rest unangetastet lässt. Quasi dass, was du mit einem Hex-Editor auch
machen würdest.

In diesem Punkt also kein Pluspünktchen für
unsere Daten.

Alt 30.05.2012, 07:14   #392
DevilTH
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Zitat:
Zitat von fdy Beitrag anzeigen
Huhu Devil,

davon würde ich nicht ausgehen, wenn du dass im Bezug auf den Virus meinst,
wenn er jede Datei erst lesen, ändern, schreiben würde, käme er nicht
auf diese affige Performance beim verschlüsseln.

Da können wir ganz stumpf davon ausgehen, dass er tatsächlich die Datei von
Platte nimmt, die ersten Bytes stumpf überschreibt und den
Rest unangetastet lässt. Quasi dass, was du mit einem Hex-Editor auch
machen würdest.

In diesem Punkt also kein Pluspünktchen für
unsere Daten.
Klingt logisch, könnte sein... hoffen wir für die Opfer das es nicht so ist
Gruß DevilTH
__________________


Alt 30.05.2012, 07:53   #393
GaMaVa
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hallo an Alle

leider hat mich der neue Trojaner auch erwischt. Welche Version ich mir eingefangen haben kenne ich nicht. Das Booten in allen 3 Varianten im Abgesichertem Modus geht nicht.

Die Mail habe ich noch auf dem iPod und könnte sie jemandem hier zukommen lassen, bei Bedarf

mit freundlichen Grüßen

Gabriel
__________________

Alt 30.05.2012, 12:26   #394
t-itservice
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hi leute bin wieder da und habe mal mit den machern von escan gesprochen die nehmen sich der sache mal an und versuchen eine lösung zu finden

Ich kann eine vm mit teamviewer stellen die verseucht ist und zum test misbraucht werden kann
ich habe leider wenig zeit
wenn intresse besteht kurz melden

gruss tommy


Alt 30.05.2012, 12:45   #395
pcnberlin
/// Helfer-Team
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



@markusg & alle die an dem Trojaner arbeiten:

Habt Ihr VM-Sicherungsstände, bei denen der Trojaner gerade noch am verschlüsseln ist? Da die C&C-Server seit gestern nicht mehr zu erreichen sind, sind solche Zwischenstände jetzt wohl recht wichtig. Oder hat jmd eine neue Variante, die andere URLs nutzt?


Alt 30.05.2012, 13:16   #396
norbt
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hallo Leute, ich sitze grade das 2. mal an einem Windows XP SP3 PC mit ähnlichen Problem.

User meldet sich an und prompt kam weißes Bild mit Zahlungsaufforderungen.

Beim ersten PC wurde schon angefangen eine Menge auf C: zu verschlüsseln, beim 2. PC(WLAN) ist noch nichts passiert und nerviges Programm einen dran hindert irgendwas zu tun konnte ich auch beseitigen.

Aufmerksam wurde der Besitzer des PCs dass er statt seinem normalen Desktop nur noch ein Windows Explorer Fenster beim anmelden bekam.

in der Registry war unter "Windows NT\Winlogon\Shell" - "explorer_new.exe" zu finden, was ich rasch ändern konnte im agesicherten Modus.

TLDR: warum ich eigentlich schreibe; Ich habe unter "Dokumente und Einstellungen\All Users\Anwendungsdaten" den übeltäter ausfindig machen können und alles was mMn dazugehörte in den Anhang gepackt in der Hoffnung es hilft weiter.

lg
Norbert

Alt 30.05.2012, 13:42   #397
fdy
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Huhu norbt,

kleine Info an Dich, bei Deinem Package handelt es sich nicht um den kleinen Freund selber,
sondern um die Website, die dass Programm anzeigt, die ausführbare Datei wird sich noch
irgendwo im System tummeln.

Dass müsste also der Teil des Packages sein, welcher vom Webserver
im cab Package an den PC gesendet wird, soweit ich es von hier aus beurteilen kann.

@pcnberlin ist Dir bekannt ob die Server von der Version 1.140.1 und der Version Version 1.150.1
identisch sind ?

So far... fdy

Alt 30.05.2012, 14:12   #398
pcnberlin
/// Helfer-Team
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Zitat:
Zitat von fdy Beitrag anzeigen
@pcnberlin ist Dir bekannt ob die Server von der Version 1.140.1 und der Version Version 1.150.1 identisch sind ?
Ja, bin da ziemlich sicher, eine Liste der Domains findet man auch in meinen Blogpost und mit jetzigem Stand sind die Domains nicht mehr aufzulösen.

Alt 30.05.2012, 14:37   #399
fdy
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



@ pcnberlin: Ich danke Dir, herzlich.

Na dann werde ich mich jetzt erstmal eine Runde ärgern,
dass ich mir heute ein Testsystem hochinstalliert habe (keine VM),
um den Vogel drauf loszulassen.

Alt 30.05.2012, 14:47   #400
eauth
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



eine interessante Beobachtung zu den Dateinamen:
beim "Buchstabensalat" für die Dateinamen werden bei mir nicht alle Groß- und Kleinbuchstaben verwendet, sondern nur die folgenden:

A..DE.G..J.L.NO.Q..TUV.X..
a..defg..j.l.no.qrstuv.xy.

bei mir kommen also genau 31 verschiedene Zeichen zum Einsatz.

Alt 30.05.2012, 14:56   #401
Annistern
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hallo!

Ich bin ganz neu hier. Habe mir leider auch diese neue Version vom Verschlüsselungstrojaner eingefangen und hoffe nun auch Hilfe von Euch! Ich habe bereits alle Entschlüsselungstools ausprobiert. Keiner hat bisher den Schlüssel generieren können

Wird es da bald ein Tool für geben oder das ist das eher aussichtslos?

Vielen Dank

Alt 30.05.2012, 15:04   #402
Siggit2000
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hallo!

Wieder mal der Verschlüsselungstrojaner. Hab den Anhang nicht geöffnet.
Eine Mahnung und dann noch per Mail, da stimmt doch was nicht. Habe das schon mal bei einer Bekannten gehabt. Mit dem Tool hier hat es geklappt aber auch lange gedauert. Link: http://www.trojaner-board.de/114115-...tml#post820437


Infos zur Mail:

E-Mail Header:

Return-Path: <13342562573@189.cn>
Delivered-To: GMX delivery to *****@gmx.net
Received: (qmail invoked by alias); 26 May 2012 18:55:57 -0000
Received: from mta.189.cn (EHLO 189.cn) [121.14.53.137]
by mx0.gmx.net (mx020) with SMTP; 26 May 2012 20:55:57 +0200
Received: from Server1 (as7.inner-189.cn [10.62.8.17])
by 189.cn (HERMES) with ESMTP id 7F3B915C0BC
for <*****@gmx.net>; Sun, 27 May 2012 02:55:47 +0800 (CST)
Received: from Server1 ([10.62.6.20])
by 189CN(Yuwen filter gate 10.62.8.17) with ESMTP id 1338058545.10436 for *****@gmx.net
;
Sun May 27 02:55:55 2012
X-FILTER-SCORE: to=<944f958296848986939561888e994f8f8695>, score=<1338058555oooooSooYooxoSYx5ykqM1YYYYYNYYCYYhYNChYNChYN>
MIME-Version: 1.0
Date: Sat, 26 May 2012 20:55:51 +0200
X-Priority: 3 (Normal)
X-Mailer: Sylpheed version 0.7.6 (GTK+ 1.2.10;
i686-pc-tommie-gnu)
Subject: Dritte Mahnung 22.05.2012 029138273
From: 13342562573@189.cn
To: *****@gmx.net
Content-Type: multipart/mixed;
boundary="-----_chilkat_000_0000_00000000.00000000_.MIX"
Message-ID: <CHILKAT-MID-00000024-0054-0045-0041-004d00002400@Server1>
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (eXpurgate);
Detail=5D7Q89H36p6Db+1Gr2i0FsOUkUVirUO4L/dtLTEuSZD5KghEe2JRMCLhT4q/3HJYj+aOt
gwG3s+0ljXZ4hWH0Ez35Q5DjrZyx3o/rQu0jRtqUj9YZlpg4cEoQeQSWS34tG7vz8D08YlXerp85
YvdVJe+qTMjf0j3WOGBiigaUUo2guRUL8dKadc1FiMMfa3FVRBkOvwg5lk=V1;
X-GMX-UID: bm1iVNYyGHE3dc5Y+zYx/LgoL5mDVIjR
X-Flags: 1411

Betreff: Dritte Mahnung 22.05.2012 02913827

Nachricht:

Sehr geehrte Damen und Herren,

in Bezug auf unsere Rechnung Nr.: 70557203 und unsere 1. sowie auch unsere 2. Mahnung mussten wir heute feststellen, dass Ihre Zahlung bei uns noch immer nicht eingegangen ist. Dies bedeutet einen einseitigen Vertragsbruch Ihrerseits. Nach geltendem Recht könnten wir die offene Forderung bereits jetzt bei Gericht anmelden. Wir geben Ihnen jedoch trotzdem noch eine letzte Möglichkeit, Ihre vertragliche Verpflichtung zu erfüllen, indem Sie unverzüglich die ausstehende Summe in Höhe von 856.00 EURO an uns zur Zahlung bringen.

Die Rechnung und die Bestelleinzelheiten finden Sie im Zusatzordner

Nach geltendem Recht sind wir befugt, die anfallenden Kosten geltend zu machen. Alle bereits angefallenen und noch entstehenden Kosten (Mahnkosten, Rechtsanwalts- und Gerichtskosten) gehen zu Ihren Lasten.

Vermeiden Sie unnötigen Ärger und weitere Kosten und erfüllen Sie den mit uns abgeschlossenen Vertrag!



Maeki Elektro Online-Handel mit Sitz in Berlin

Vorstand: Manfred Bauer, Maria Scholz
Aufsichtsratsvorsitzender: Ursula Maier
Gesellschaftssitz: Berlin 85004



Anhang: Mahnung.zip Nicht öffnen oder ausführen!!!


Fazit:

- Die Firma gibt es nicht keine genauen Ergebnisse bei Google
- Mahnungen kommen eigentlich immer per Post
- Anhang als zip und nicht als Dokument (pdf, doc,docx, xls, xlsx usw.)

Geändert von Siggit2000 (30.05.2012 um 15:06 Uhr) Grund: Link hat gefehlt

Alt 30.05.2012, 15:05   #403
markusg
/// Malware-holic
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



hallo, mails bitte hierhin:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 30.05.2012, 15:32   #404
norbt
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



@fdy:
Danke fürs anschauen und die Informationen.
Jedes kleine Bisschen Hilft weiter.

Alt 30.05.2012, 15:45   #405
andreas6
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hallo,

ich habe den kompletten Quelltext der Trojaner-Email nach Befall eines lokalen PC vermittels Webmailer mit einem anderen PC geholt und als Textdatei gespeichert. Kann ich den ebenso zippen und einsenden?

Ansonsten ist auffällig, dass der befallene PC eine neue Datei unter
"\dokumente und einstellungen\all users\anwendungsdaten\microsoft\crypto\rsa\s-1-5-18\"
hat (also nicht nur die übliche d42cc...), welche den Zeitstempel des Befalls trägt. Möglicherweise ist das einer der Schlüssel, die zum Verschlüsseln der Dateien oder Dateinamen benutzt worden sind.

MfG. Andreas

Antwort

Themen zu Neue Verschlüsselungs-Trojaner Variante im Umlauf
256 bit, 256 bit aes schlüssel, abmahnn, computerverschlüsselungstrojaner, mahnung.zip, rechnung.pif, sie haben sich mit einen windows-verschlüsselungs trojaner infiziert, spam-mails, tr/skelf.a, trojan.matsnu.1, trojan.winlock, trojan:win32/matsnu.gen!a, verschlüsselungs-trojaner, virus verschlüsselt, wickel, willkomen bei windows update, win32/trustezeb.b, windows notfall sicherheits-update center



Ähnliche Themen: Neue Verschlüsselungs-Trojaner Variante im Umlauf


  1. XcodeGhost: Neue Version von manipuliertem Apple-Entwicklungstool im Umlauf
    Nachrichten - 04.11.2015 (0)
  2. Neue DHL-Mail Variante?
    Diskussionsforum - 29.05.2015 (2)
  3. Neue Familie von Erpressungs-Trojanern Umlauf
    Nachrichten - 15.08.2013 (0)
  4. Bundestrojaner neue Variante?
    Plagegeister aller Art und deren Bekämpfung - 26.03.2013 (28)
  5. BKA Trojaner neue Variante "Der Computer ist für die Verletzung der Gesetze der Bundesrepublik..."
    Plagegeister aller Art und deren Bekämpfung - 05.08.2012 (2)
  6. Windows-Verschlüsselungs-Trojaner (Neue Art)
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (1)
  7. Verschlüsselungs Trojaner BKA GEMA Variante
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (1)
  8. Neuer Verschlüsslungs Variante in umlauf
    Diskussionsforum - 13.07.2012 (7)
  9. Verschlüsselungs-Trojaner, Neue Version
    Plagegeister aller Art und deren Bekämpfung - 13.06.2012 (1)
  10. Rechner befallen von ...... Neue Verschlüsselungs-Trojaner Variante im Umlauf
    Plagegeister aller Art und deren Bekämpfung - 12.06.2012 (1)
  11. Verschlüsselungs-Trojaner Variante
    Plagegeister aller Art und deren Bekämpfung - 03.06.2012 (1)
  12. Neue Variante von Ukash
    Log-Analyse und Auswertung - 23.10.2011 (34)
  13. Bundespolizei: Neue Variante vom 'Bundes-Trojaner'
    Plagegeister aller Art und deren Bekämpfung - 09.09.2011 (5)
  14. Neue Mails im Umlauf
    Plagegeister aller Art und deren Bekämpfung - 21.03.2007 (1)
  15. neue Variante von W32.Netsky ?
    Plagegeister aller Art und deren Bekämpfung - 15.04.2005 (10)
  16. Neue Blaster Variante?
    Plagegeister aller Art und deren Bekämpfung - 02.09.2003 (4)

Zum Thema Neue Verschlüsselungs-Trojaner Variante im Umlauf - Huhu Devil, davon würde ich nicht ausgehen, wenn du dass im Bezug auf den Virus meinst, wenn er jede Datei erst lesen, ändern, schreiben würde, käme er nicht auf diese - Neue Verschlüsselungs-Trojaner Variante im Umlauf...
Archiv
Du betrachtest: Neue Verschlüsselungs-Trojaner Variante im Umlauf auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.