Muss man eigentlich damit die invoice_Yknrzy.xls ausgeführt werden kann um dann zu verschlüsseln ein bestimmtes Programm installiert haben oder bei einem Programm eine bestimmte Funktion aktiviert haben? Bei mir steht da öffnen mit: Microsoft ® Windows Based Script Host wenn ich in Eigenschaften schaue.

purzel, deinem letzten Screenshot entnehme ich, dass du dir sträflicherweise nicht grundsätzlich die Dateiendung anzeigen lässt!!

Steh bei dir wirklich invoice_Yknrzy.xls oder nur invoice_Yknrzy ohne das .xls?

Zitat:

Zitat von cosinus

purzel, deinem letzten Screenshot entnehme ich, dass du dir sträflicherweise nicht grundsätzlich die Dateiendung anzeigen lässt!!

Steh bei dir wirklich invoice_Yknrzy.xls oder nur invoice_Yknrzy ohne das .xls?

cosinus, helfen dir die 2 Bilder?
Und was müsste ich machen wenn ich mir Dateiendungen anzeigen lassen wollte? Nächste Frage: warum wurde mein System gestern als ich noch Avast hatte nicht infiziert/verschlüsselt als ich die entpackte Datei öffnete ?
Edit: muss bei Ordneroptionen der Haken raus bei Erweiterungen bei bekannten Dateitypen ausblenden raus?

die Datei heißt eigentlich invoice_Yknrzy.xls.js

So, hab das ganze jetzt zerlegt und kommentiert. Wenn du Fragen dazu hast kann ich dir das gern PMen

Übrigens sind die Links kaputt, deshalb geht da nix mehr.

Zitat:

Wenn du Fragen dazu hast kann ich dir das gern PMen

Die hab ich ja schon hier gestellt

Zitat:

Muss man eigentlich damit die invoice_Yknrzy.xls ausgeführt werden kann um dann zu verschlüsseln ein bestimmtes Programm installiert haben oder bei einem Programm eine bestimmte Funktion aktiviert haben? Bei mir steht da öffnen mit: Microsoft ® Windows Based Script Host wenn ich in Eigenschaften schaue.

Zitat:

warum wurde mein System gestern als ich noch Avast hatte nicht infiziert/verschlüsselt als ich die entpackte Datei öffnete ?

Zitat:

Zitat von cosinus

Genau wie ich befürchtet hab. Das Teil tut nur so als sei es eine Excel-Tabelle...die echte Endung (.js) siehst du nicht, wird unterdrückt. Geh mal in die Ordneroptionen und nimm den Haken raus...

Mach ich umgehend cosinus. Was ist dann jetzt der Vorteil dabei wenn ich bei der Option den Haken raus habe?

Zitat:

Zitat von purzelbär

Mach ich umgehend cosinus. Was ist dann jetzt der Vorteil dabei wenn ich bei der Option den Haken raus habe?

Du siehst jetzt in jedem Fall die Dateierweiterung.
In diesem Fall hast du dir ja z.B. die vermeintliche .xls Datei runtergeladen und wärst möglicherweise, da du ja weißt dass es sich um eine Excel Datei handelt, dazu bereit sie zu öffnen.
Lässt du dir die Dateierweiterung allerdings anzeigen, dann siehst du, dass hinter dem .xls noch ein .js kommt und du lässt vll lieber die Finger davon.
Oder anderes Beispiel, du bekommst ein Bild mit dem namen "titten.jpg" und willst es öffnen, eigentlich heißt die Datei aber "titten.jpg.exe"

Zitat:

Zitat von s0nny

eigentlich heißt die Datei aber "titten.jpg.exe"

Sowas klickt purzel immer an. Dicke Ohren lässt er sich nicht entgehen, außerdem schützt ihn ja Avast

Zitat:

Zitat von s0nny

Du siehst jetzt in jedem Fall die Dateierweiterung.
In diesem Fall hast du dir ja z.B. die vermeintliche .xls Datei runtergeladen und wärst möglicherweise, da du ja weißt dass es sich um eine Excel Datei handelt, dazu bereit sie zu öffnen.
Lässt du dir die Dateierweiterung allerdings anzeigen, dann siehst du, dass hinter dem .xls noch ein .js kommt und du lässt vll lieber die Finger davon.
Oder anderes Beispiel, du bekommst ein Bild mit dem namen "titten.jpg" und willst es öffnen, eigentlich heißt die Datei aber "titten.jpg.exe"

Ich hätte nicht gewusst das es eine Excel Datei ist, hatte noch nie Excel installiert und seit Windows 7 ist auch Java nicht mehr installiert.
Wenn ich also Excel und Java installiert hätte und hätte die Datei geöffnet, hätte es mich auch erwischt?

Zitat:

Sowas klickt purzel immer an. Dicke Ohren lässt er sich nicht entgehen, außerdem schützt ihn ja Avast

Ja und Amen cosinus
Ergänzend: ich hatte zuerst auch noch zusätzlich BitDefender AntiCryptoWall installiert gehabt und später Malwarebytes stattdessen Malwarebytes Anti Ransomware und beide reagierten jeweils auch nicht beim öffnen der Datei.

Genau wie ich befürchtet hab. Das Teil tut nur so als sei es eine Excel-Tabelle...die echte Endung (.js) siehst du nicht, wird unterdrückt. Geh mal in die Ordneroptionen und nimm den Haken raus...

So einen User hatt ich sogar schon mal...

Hat wahrscheinlich geglaub, dass er sich ein Video anschauen kann und plötzlich ein Screenlock. Blöd gelaufen

Zitat:

Zitat von Deathkid535

So einen User hatt ich sogar schon mal...

Hat wahrscheinlich geglaub, dass er sich ein Video anschauen kann und plötzlich ein Screenlock. Blöd gelaufen

Das kommt davon wenn er es so nötig hat Notgeil sein zu müssen

Zitat:

Zitat von Deathkid535

So einen User hatt ich sogar schon mal...

Hat wahrscheinlich geglaub, dass er sich ein Video anschauen kann und plötzlich ein Screenlock. Blöd gelaufen

Uhh.... xD wo bleibt der Datenschutz Dennis. Einmal nach deinem Text suchen und man weiß welcher User das ist

Um das: http://www.trojaner-board.de/175739-verschluesselungstrojaner-erkennen-2.html#post1562334 von mir aufzugreifen: Avast hat jetzt reagiert und seine Erkennung für das Teslacrypt3 File angepasst:

Zitat:

Guten Tag,



wir haben die Datei in unserem Virenlabor untersucht. Sie wird mittlerweile von unserem Virenschutz als Bedrohung eingestuft.



Mit freundlichen Grüßen

Florian Förster
Customer Care Specialist
AVAST Software s.r.o.
www.avast.com
On Tue, 16 Feb at 11:20 PM , German Support <customer.care-de@avast.com> wrote:
Guten Tag,



vielen Dank für den Hinweis. Wir werden die Datei in unserem Virenlabor untersuchen und die Avast-Virendatenbank gegebenenfalls anpassen.







Mit freundlichen Grüßen

Florian Förster
Customer Care Specialist
AVAST Software s.r.o.
www.avast.com

Anbei jetzt die Erkennung per Avast beim Versuch das Zip File entpacken zu wollen.