Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Zepto verschlüsselte Dateien identifizieren

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 23.08.2016, 19:35   #1
Aysberg
 
Zepto verschlüsselte Dateien identifizieren - Standard

Zepto verschlüsselte Dateien identifizieren



Hallo, ein Kollege hat heute eine Mail "[Vigor2820 Series] New voicemail message from..." (genauen Betreff habe ich leider nicht) geöffnet und auch gleich den ZIP Anhang geöffnet und angeklickt. Absenderadresse kam aus unserer Domain.*

*Zum Schutze des Kollegen, zeitgleich wurde an unserer VOIP-Analage rumgebaut und er hat extra angerufen, ob es eine Voicemail geben könnte und der schlaue Kopf an unserer Anlage hat ihm diese Möglichkeit bestätigt.

Also das Laptop bzw. die für ihn wichtigen Daten sind hinüber und mit dem Schaden müssen wir leben. Backup gab es keine aktuelles, da der Rechner die letzten drei Wochen mit im Urlaub war.

Nun mein eigentliches Anliegen, der Laptop war via VPN mit unserem Server verbunden und unsere Projektverzeichnisse erscheinen als Laufwerksverknüpfung. Soweit ich mich eingelesen habe, greift der Zepto auch auf solche Ressourcen zu.

Bei einer Suche auf dem Server habe ich keine *.zepto Endungen gefunden. Nun habe ich noch alle Dateien per PowerShell nach dem Parameter "lastwritetimeutc" durchkämmt. Von unseren 126593 Dateien wurden 167 in den letzten 2 Tagen angefasst, dass passt zu unserem normalen Arbeitsalltag und öffnen kann man diese auch (Stichproben).

Frage: Würde man die verschlüsselten Dateien überhaupt per "lastwritetimeutc" finden oder ist da so ein Virus schlauer und ändert dieses Datum nicht?

Haben die Dateien in der Regel immer eine neue Endung und bleibt der alte Name als Stamm erhalten?

Vielen Dank und Gruß Aysberg

Alt 23.08.2016, 20:33   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Zepto verschlüsselte Dateien identifizieren - Standard

Zepto verschlüsselte Dateien identifizieren



Per VPN? Hatte der Kollege denn über dei VPN-Verbindung direkt schreibenden Zugriff auf die Netzlaufwerke?

Denn wenn der solange unterwegs war wird er wohl sich außerhalb der Firma nicht mit einem AD-Konto angemeldet haben können oder doch? Ne gewisse Zeit wird das gecacht, aber irgendwann meckert Windows (als Client/Domänenmitglied) dass kein Anemeldeserver verfügbar sei wenn man versucht sich mit einem AD-Konto anzumelden.

Und wenn nur mit lokalem Konto gearbeitet wurde, gibt es normalerweise erst Zugriff auf Shares der Server wenn man User+Pass eingetippselt hat
__________________

__________________

Alt 23.08.2016, 21:50   #3
Aysberg
 
Zepto verschlüsselte Dateien identifizieren - Standard

Zepto verschlüsselte Dateien identifizieren



Das ist hier nur ein kleines Büro und da läuft ein SmallBusinessServer, Da ist momentan Verbindung per VPN und Schreib-/Lesezugriffe ein und das selbe.
Ich gehe jetzt anhand meiner Analyse davon aus, dass nichts passiert ist. Hätte halt nur gern Auskunft über dieses LetzeÄnderung LetzterZugriff Thema. Aber wenn alle Stricke reißen, teste ich das in einer VM.
__________________

Alt 24.08.2016, 08:14   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Zepto verschlüsselte Dateien identifizieren - Standard

Zepto verschlüsselte Dateien identifizieren



Wieso willst du das denn so umständlich per PS machen. Eine Suche nach den letzten veränderten Dateien sollte reichen. Wie soll denn der Client den Datumsstempel auf dem Fileserver manipulieren? Dir ist schon klar, dass der Client den Schadcode ausführt, nicht der Fileserver?

Aber du kannst ja beides machen. Suche per PS und dann ne normale Suche zB nach zepto Dateien und zuletzt geändert.
__________________
Logs bitte immer in CODE-Tags posten

Alt 24.08.2016, 10:29   #5
Aysberg
 
Zepto verschlüsselte Dateien identifizieren - Standard

Zepto verschlüsselte Dateien identifizieren



Ich habe das eben getestet, ich kann problemlos die Attribute der Dateien, die ich auf dem Server erstellt habe ändern, also könnte das ein Trojaner auch. Insofern ist deine Aussage nur bei entsprechender Rechtevergabe richtig. Trotzdem vielen dank.

Und noch einmal, bitte nicht das für und wieder und warum in Frage stellen oder mach doch einfach Backups, denn das ist hier nicht die Frage.

Ist es möglich per letzter Zugriff/letzte Änderung verschlüsselten Dateien auf die Spur zu kommen oder sind die Schädlinge da schlauer und behalten die alten Datei Attribute bei? Gibt es da Erfahrungswerte?

Nochmals Danke.


Alt 24.08.2016, 11:22   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Zepto verschlüsselte Dateien identifizieren - Icon32

Zepto verschlüsselte Dateien identifizieren



Zitat:
Zitat von Aysberg Beitrag anzeigen
Und noch einmal, bitte nicht das für und wieder und warum in Frage stellen oder mach doch einfach Backups, denn das ist hier nicht die Frage.
Was soll das WO bitte hab ich das getan?


Zitat:
Zitat von Aysberg Beitrag anzeigen
Ist es möglich per letzter Zugriff/letzte Änderung verschlüsselten Dateien auf die Spur zu kommen oder sind die Schädlinge da schlauer und behalten die alten Datei Attribute bei? Gibt es da Erfahrungswerte?
Die Antwort hast du dir doch selbst gegeben, wenn jeder Client jeden Datumsstempel ändern kann wie er will...
__________________
--> Zepto verschlüsselte Dateien identifizieren

Alt 24.08.2016, 12:04   #7
Aysberg
 
Zepto verschlüsselte Dateien identifizieren - Standard

Zepto verschlüsselte Dateien identifizieren



Ich habe freundlich Danke gesagt, Dieses BackToTopic Kommentar war auch nicht an dich sondern allgemein gehalten. Entschuldigung, wenn das schroff ankam.

Und nein ich habe meine Frage nicht selbst beantwortet, denn es ging nicht darum was ein User macht, sondern ob diese Schädlinge, der Zepto im speziellen, dies so praktizieren. Da ich eben nach reichlich googeln dazu keine Aussage gefunden habe.

Erneut Danke für dein Feedback.

Alt 24.08.2016, 12:08   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Zepto verschlüsselte Dateien identifizieren - Standard

Zepto verschlüsselte Dateien identifizieren



Das ist doch völlig wumpe ob der User oder der Schädling das macht! Was der User kann kann auch ein ausgeführter Schädling.

Ich versteh dein Problem nicht. Einen Beweis, dass die Dateien auf dem Fileserver nicht verschlüsselt sind gibt es so jedenfalls wenn du nur auf dem Datumstempel achtest.
__________________
Logs bitte immer in CODE-Tags posten

Antwort

Themen zu Zepto verschlüsselte Dateien identifizieren
.zepto, aktuelle, anhang, anlage, dateien, daten, datum, erhalte, gefasst, heute, ide, laptop, mail, message, neue, rechner, ressourcen, server, suche, urlaub, virus, vpn, wichtige, woche, wochen, überhaupt, öffnen



Ähnliche Themen: Zepto verschlüsselte Dateien identifizieren


  1. Wie verschlüsselte Dateien wiederherstellen
    Alles rund um Windows - 31.05.2017 (10)
  2. Zepto ransowmare (.zepto Files Encrypted Malware) entfernen
    Anleitungen, FAQs & Links - 07.07.2016 (2)
  3. Windows 7: Mit CTB-Locker verschlüsselte Dateien entschlüsseln
    Plagegeister aller Art und deren Bekämpfung - 23.06.2015 (3)
  4. Bundestrojaner und verschlüsselte Dateien
    Plagegeister aller Art und deren Bekämpfung - 22.04.2014 (5)
  5. Verschlüsselte Dateien
    Plagegeister aller Art und deren Bekämpfung - 22.07.2013 (5)
  6. DirtyDecrypt.exe - Verschlüsselte Dateien entschlüsseln
    Plagegeister aller Art und deren Bekämpfung - 02.06.2013 (7)
  7. ScareUncrypt - Tool für verschlüsselte Dateien
    Diskussionsforum - 22.04.2013 (147)
  8. Polizei Trojaner - verschlüsselte Dateien
    Plagegeister aller Art und deren Bekämpfung - 03.09.2012 (1)
  9. Verschlüsselte Dateien entschlüsseln
    Plagegeister aller Art und deren Bekämpfung - 30.07.2012 (1)
  10. Verschlüsselte Dateien durch Bundestrojaner
    Plagegeister aller Art und deren Bekämpfung - 27.07.2012 (1)
  11. Verschlüsselte Dateien
    Plagegeister aller Art und deren Bekämpfung - 13.07.2012 (3)
  12. verschlüsselte audio.wav dateien wiederherstellen
    Plagegeister aller Art und deren Bekämpfung - 17.06.2012 (0)
  13. Trojan Agent rns gen, Verschlüsselte Dateien wiederherstellen
    Plagegeister aller Art und deren Bekämpfung - 07.06.2012 (28)
  14. Verschlüsselte Dateien entschlüsseln
    Plagegeister aller Art und deren Bekämpfung - 03.06.2012 (1)
  15. Verschlüsselte Dateien entschlüsseln
    Plagegeister aller Art und deren Bekämpfung - 05.05.2012 (3)
  16. Virensuche und verschlüsselte Dateien
    Plagegeister aller Art und deren Bekämpfung - 19.02.2007 (2)

Zum Thema Zepto verschlüsselte Dateien identifizieren - Hallo, ein Kollege hat heute eine Mail "[Vigor2820 Series] New voicemail message from..." (genauen Betreff habe ich leider nicht) geöffnet und auch gleich den ZIP Anhang geöffnet und angeklickt. Absenderadresse - Zepto verschlüsselte Dateien identifizieren...
Archiv
Du betrachtest: Zepto verschlüsselte Dateien identifizieren auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.