Ich hab heute einen Rechner mit Verschlüsselungs-Trojaner mit Comodo Premium 5.8 gescannt.

Die Dateinamen sind noch vorhanden wie bei den beiden Beispielen zu erkennen ist. Allerdings ist mir nicht klar woher Comodo die Original-Dateinamen hat.

Code: Alles auswählenAufklappen

ATTFilter

Suspicious@#26i34lyrtu677 D:\Eigene Dateien\AEqyOsUsAQuxTjjO|Rechnung 16.05.2012.exe

Suspicious@#2ccosaiv5s9v3 D:\Eigene Dateien\UsejojQvtDsEnygO|DHL_tracking_document.exe
         

Ich habe eine entsprechende Frage im Comodo-Forum gestellt.

Zitat:

Zitat von Tristan511

Ich hab heute einen Rechner mit Verschlüsselungs-Trojaner mit Comodo Premium 5.8 gescannt.

Die Dateinamen sind noch vorhanden wie bei den beiden Beispielen zu erkennen ist. Allerdings ist mir nicht klar woher Comodo die Original-Dateinamen hat.

Code: Alles auswählenAufklappen

ATTFilter

Suspicious@#26i34lyrtu677 D:\Eigene Dateien\AEqyOsUsAQuxTjjO|Rechnung 16.05.2012.exe

Suspicious@#2ccosaiv5s9v3 D:\Eigene Dateien\UsejojQvtDsEnygO|DHL_tracking_document.exe
         

Ich habe eine entsprechende Frage im Comodo-Forum gestellt.

Das sieht mir mehr aus wie die Trojaner-Datei, von der aus der Rechner infiziert wurde!?

Zitat:

Zitat von pcab50

Das sieht mir mehr aus wie die Trojaner-Datei, von der aus der Rechner infiziert wurde!?

Da hast Du schon Recht, das sind die Trojaner-Dateien.
Das sind ja auch die einzigen die Comodo anzeigt.
Allerdings sind diese aktuell auf der System verschlüsselt abgelegt.
In der Log-Datei sind allerdings die Original-Dateinamen zu sehen, welche Comodo ja irgendwoher haben muss. Es geht ja eher darum eine Methode zu entwickeln um die Dateien wieder in Ihren Original-Zustand versetzen zu können.

gibt es wirklich noch nichts um die daten zu entschlüsseln??
lg Ice

Achtung , schon wieder neue Email Variante unterwegs !!!

Titel in der mail " Letzte Mahnung 094125058 Inkassobüro " mit ner schicken zip Datei im Anhang.........

auf keinen Fall öffnen !!!

Ich habe dann jetzt mal eine Nachricht an meinen Lieblingssender 1Live (www.einslive.de) verfasst und auf die Delphi-Praxis bzw. das Trojaner-Board verwiesen, sie mögen mal eine Warnung an die Hörerschaft rausbringen.
Mal schauen.

Michael

Photorec wäre ein Versuch wert: je mehr Platz auf der Platte frei ist, desto wahrscheinlicher dass nichts überschrieben wurde.

Wichtig wäre keine Schreibzugriffe auf die befallene Platte durchzuführen!

Also: externe große Platte per USB anschließen, Photorec starten , als Zielverzeichnis sicherstellen dass die USB Platte genannt ist und "rödeln lassen".

Ergebnis: alle intakten "gelöschten" Dateien werden wiederhergestellt sofern sie Dateiformaten entsprechen die Photorec kennt (und das sind viele. MS Dokumente, Jpg, diverse Filmformate ...)

Resultat : einwandfrei wenn kein Schreibzugriff stattfand, wenn Teile der Dateien durch neue überschrieben wurden sind diese verloren.

Nachteil: durch die Methode die ohne File Tables auskommt kann Photorec den Namen nicht wiederherstellen. Man erhält also Dateien mit kryptischen Namen aber der korrekten Endung, muss alle einzeln öffnen und anhand des Inhaltes feststellen welche Datei das war.. danach kann man sie von Hand umbenennen.

Einschätzung: ein Versuch ist es wert, bei SSD Platten die nicht sehr voll waren würde ich erwarten dass viele Dateien wiederhergestellt werden, bei herkömmlichen Magnetplatten befürchte ich dass nur die als letzte verschlüsselten Dateien wiederherstellbar sein werden.

Link: PhotoRec - CGSecurity

Hi Dackel,
das verstehe ich nicht ganz, Photorec ist doch ein Programm zur Wiederherstellung von Dateien und nicht zur Entschlüsselung.
Beim Verschlüsseln wird der zugehörige Record des Dateisystems ja nicht geändert, die Datei ist ja noch da.
Falscher Post zum richtigen Thema oder richtiger Post zum falschen Thema, oder peil ich was nicht ?

Grüße
Arris

Hallo Arris,

zum Gedankengang:

Dass Schreibprogramm speichert während des Arbeitens mit einem Dokument eine gesperrte Kopie für den Falle eine Absturzes, dass Original ist selbstverständlich verschlüsselt, die Kopie aus dem Tempfiles ist gelöscht und daher nicht involviert.

Beispiel 2:
Mustermännchen bestellt sich ein Fotobuch oder brennt eine selektierte Zusammelstellung
seiner Urlaubsbilder, erstellt dafür einen neuen Ordner, kopiert die Wunschbilder dort
rein, löscht nach getaner Ausführung den Kopieordner.
Schwupps haben wir wieder gelöschte Bilder auf Platte.

Beispiel 3:
Persönchen 3 überträgt die Bilder von seiner Digitalkamera auf Platte,
verschiebt die Daten auf seine externe Festplatte, da die Orginale beim
verschieben gelöscht werden, sind auch hier wieder Optionen vorhanden.

Beispiel 4:
Anhänge kommen per E-Mail rein, Anhänge werden auf Platte gespeichert - später verschlüsselt, sind aber irgendwo noch in der Mailboxdatei noch gespeichert.
Da nur der Header verschlüsselt wird, müssten auch hier weiter hinten
aus der Datei Rohdaten extrahiert werden können.

Ich hoffe, es ist so etwas besser verständlich.

*wink* fdy

Zitat:

Zitat von fdy

Hallo Arris,

zum Gedankengang:

Dass Schreibprogramm speichert während des Arbeitens mit einem Dokument eine gesperrte Kopie für den Falle eine Absturzes, dass Original ist selbstverständlich verschlüsselt, die Kopie aus dem Tempfiles ist gelöscht und daher nicht involviert.

Beispiel 2:
Mustermännchen bestellt sich ein Fotobuch oder brennt eine selektierte Zusammelstellung
seiner Urlaubsbilder, erstellt dafür einen neuen Ordner, kopiert die Wunschbilder dort
rein, löscht nach getaner Ausführung den Kopieordner.
Schwupps haben wir wieder gelöschte Bilder auf Platte.

Beispiel 3:
Persönchen 3 überträgt die Bilder von seiner Digitalkamera auf Platte,
verschiebt die Daten auf seine externe Festplatte, da die Orginale beim
verschieben gelöscht werden, sind auch hier wieder Optionen vorhanden.

Beispiel 4:
Anhänge kommen per E-Mail rein, Anhänge werden auf Platte gespeichert - später verschlüsselt, sind aber irgendwo noch in der Mailboxdatei noch gespeichert.
Da nur der Header verschlüsselt wird, müssten auch hier weiter hinten
aus der Datei Rohdaten extrahiert werden können.

Ich hoffe, es ist so etwas besser verständlich.

*wink* fdy

Und zu guter letzt wurden ja die Originaldateien zuerst verändert, dann unter neuem Namen gespeichert und dann erst gelöscht
Aber jede neu gespeicherte Datei kann schon wieder die gelöschte vorherige Originaldatei überschrieben haben
Gruß DevilTH

Huhu Devil,

davon würde ich nicht ausgehen, wenn du dass im Bezug auf den Virus meinst,
wenn er jede Datei erst lesen, ändern, schreiben würde, käme er nicht
auf diese affige Performance beim verschlüsseln.

Da können wir ganz stumpf davon ausgehen, dass er tatsächlich die Datei von
Platte nimmt, die ersten Bytes stumpf überschreibt und den
Rest unangetastet lässt. Quasi dass, was du mit einem Hex-Editor auch
machen würdest.

In diesem Punkt also kein Pluspünktchen für
unsere Daten.

Hallo an Alle

leider hat mich der neue Trojaner auch erwischt. Welche Version ich mir eingefangen haben kenne ich nicht. Das Booten in allen 3 Varianten im Abgesichertem Modus geht nicht.

Die Mail habe ich noch auf dem iPod und könnte sie jemandem hier zukommen lassen, bei Bedarf

mit freundlichen Grüßen

Gabriel

Hi leute bin wieder da und habe mal mit den machern von escan gesprochen die nehmen sich der sache mal an und versuchen eine lösung zu finden

Ich kann eine vm mit teamviewer stellen die verseucht ist und zum test misbraucht werden kann
ich habe leider wenig zeit
wenn intresse besteht kurz melden

gruss tommy

@markusg & alle die an dem Trojaner arbeiten:

Habt Ihr VM-Sicherungsstände, bei denen der Trojaner gerade noch am verschlüsseln ist? Da die C&C-Server seit gestern nicht mehr zu erreichen sind, sind solche Zwischenstände jetzt wohl recht wichtig. Oder hat jmd eine neue Variante, die andere URLs nutzt?

Hallo Leute, ich sitze grade das 2. mal an einem Windows XP SP3 PC mit ähnlichen Problem.

User meldet sich an und prompt kam weißes Bild mit Zahlungsaufforderungen.

Beim ersten PC wurde schon angefangen eine Menge auf C: zu verschlüsseln, beim 2. PC(WLAN) ist noch nichts passiert und nerviges Programm einen dran hindert irgendwas zu tun konnte ich auch beseitigen.

Aufmerksam wurde der Besitzer des PCs dass er statt seinem normalen Desktop nur noch ein Windows Explorer Fenster beim anmelden bekam.

in der Registry war unter "Windows NT\Winlogon\Shell" - "explorer_new.exe" zu finden, was ich rasch ändern konnte im agesicherten Modus.

TLDR: warum ich eigentlich schreibe; Ich habe unter "Dokumente und Einstellungen\All Users\Anwendungsdaten" den übeltäter ausfindig machen können und alles was mMn dazugehörte in den Anhang gepackt in der Hoffnung es hilft weiter.

lg
Norbert