Neue Verschlüsselungs-Trojaner Variante im Umlauf
Nach analyse neuer Samples ist eine neue Variante des Verschlüsselungs-Trojaners aufgetaucht.
Die Verschlüsselung scheint geändert worden zu sein. Wir halten euch auf dem laufenden, wie diese gerettet werden können.
Die neue Variante ist bereits unter folgenden Versionsnummern aufgetaucht:
Version 1.140.1
Dateien werden verschlüsselt
Dateiname wird komplett geändert:
C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\Blue hills.jpg C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\TxoXdJptaEoQUvpsnED C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\Sunset.jpg C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\UvTVeXquOelXALNtQeD Version 1.150.1
Dateien werden verschlüsselt
keine Umbenennung mehr
UPDATE:
Eine Neuerung gibt es bei den SPAM-Mails die versendet werden. Der Trojaner befindet sich nun in einem mit Passwort gesichertem Archiv.
Die Mails enthalten folgenden Abschitt:
Zitat:
Im Anhangsordner befindet sich die Abrechnung und Empfängeradresse als Druck-Datei.
Die Rechnung wurde laut dem § 4f 7c aus Sicherheitsgründen mit einem privaten Pin verschlüsselt.
Ihr persönliches Kennwort: haus
|
Weitere Infos zur Version 1.170.1:
http://www.trojaner-board.de/115183-...tml#post831949 Version 2.00.11 http://www.trojaner-board.de/117117-...ner-2-0-a.html 
Der Trojaner versucht sich mit folgenden IPs zu verbinden:
59.108.115.113 polskamaskas.com
173.194.35.5 google.com
173.194.35.184 google.de
ogutors-free.com
ogutors-free.com/a.php
polskamaskas.com/a.php
spatbe-w.com/a.php
qua-a.com/a.php
horad-forum.com/a.php
spatbe-web.com/a.php
qua-acc.com/a.php
horad-fo.com/a.php
Zitat:
Willkomen bei Windows Update
Sie haben sich mit einen Windows-Verschlüsselungs Trojaner infiziert.
Aus Sicherheitsgründen wurde Ihr Windowssystem blockiert. Das Besuchen von Seiten mit pornografischen und infizierten Inhalten hat dazu geführt. das Ihr System von einem Computerverschlüsselungstrojaner befallen wurde. Dieses Virus verschlüsselt Ihre Festplatte mit einem 256 Bit AES Schlüssel und eine selbstständige Entschlüsselung ist nicht mehr machbar. Um das System wiederherstellen zu können. müssen Sie ein zusätzliches Sicherheitsupdzue herunterladen. Dieses Update ist ein kostenpflichtiges Upgrade für infizierte Windowssysteme. Kostenpflichtig ist es. weil es nicht zum ursprünglichen Windowspaket gehört und nur dafür entwickelt wurde um Ihnen zu helfen Ihre Daten nicht zu verlieren. Bitte schalten Sie Ihren Computer nicht aus, sonst kann es vorkommen das der Virus nicht beseitigt werden kann und Sie Ihre Daten komplett verlieren. Dieses Update beschützt Ihr System vollständig von Virus und Schadmwrzunmen, stabilisiert Ihr Computersystem und verhindert den Datenverlust.
Damit Ihr Computer schnellstens entsperrt wird. nutzen Sie bitte die schnelle und diskrete Zahlungsmöglichkeit Paysakcard oder Ukash. Diese Karten können Sie an fast jeder Tankstelle öder einen Kiosk in Ihrer Nähe kaufen. Diese Codes gibts auch überall da. wo Sie Handyaufladekarten erwerben können. Sofort nach der Eingabe und der Gültigkeitsprüfung wird das Update auf Ihren Computer automatisch heruntergelzulen und installiert. Ihr System wird sofort entschlüsselt und von dem Trojaner befreit. Bitte zahlen Sie das Sicherheit-Update mit einem einzigen Ukash oder Paysafecard Code in passender Höhe sonst kann Ihre Zahlung nicht korrekt bearbeitet werden.
Bitte bevorzugen Sie die Ukash Bezahlm-ethode. Die Prüfung der Paysafecard kann bis zu 6 Stunden in Anspruch nehmen.
Notieren Sie sich sofort folgende Email: securitycenter@inbox.lt. falls Ihr System zusammenbricht und eine automatische Virensuche nicht mehr möglich ist. können Sie das Update auch per Email erwerben und Ihre Daten retten. Senden Sie dafür den gekauften 100 Euro Ukash Code an die genannte E-Mail Adresse. Sie erhalten umgehend das Update Programm zugeschickt.
|
Der Trojaner sperrt den Rechner und hinterlässt auf dem Desktop eine Botschaft (
bitte lesen.txt):
Zitat:
Sehr geehrte Damen und Herren,
anscheinend wurde das Update Programm vollständig unterbrochen. Jetzt kann das Virus nur manuell beseitigt werden. Dies brauchen Sie um Ihre Dateien benutzen zu können. Falls Sie also die gesperrten Daten brauchen, senden Sie uns bitte 200 Euro Ukash Code an die Email: security-center@inbox.lt, so bald dieser Code geprüft wurde, erhalten Sie ein Update Programm. Falls Sie Ihre Daten nicht brauchen raten wir Ihnen dringend Ihren Computer zu formatieren um den Virus vollständig zu entfernen. Ukash können Sie an einer beliebigen Tankstelle erwerben und auch in mehreren Internetcafes in Ihrer Nähe.
mfG Ihr Security Team
|
Graphische Darstellung der Verschlüsselung (
McAffee):
WICHTIG:
Keine unbekannten Anhänge öffnen!
Bei Befall, bitte Thema eröffnen und die Datei einsenden!
http://www.trojaner-board.de/69886-a...-beachten.html 
15.05.2012, 11:47
Baum-Darstellung