Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   Neue Verschlüsselungs-Trojaner Variante im Umlauf (https://www.trojaner-board.de/115183-neue-verschluesselungs-trojaner-variante-umlauf.html)

didek 22.05.2012 08:10

@ DevilTH,

stimmt vollkommen,

bei den Rechnern die wie hier vor uns haben, sind die Dateien (VOB,PSD,AVI usw.) nicht betroffen, die MP3`s brauchten nur wieder mit *.mp3 versehen zu werden, dann waren die wieder in Ordnung....

Dieser "Virus" hat es bei einem unserer Kunden geschaft eine mit fast 500GB Daten beschriebene USB-Festplatte (alles pdf,doc usw) zu killen, ohne das der Rechner auch nur zuckte, so die Aussage des Betroffenen und das alles innerhalb des Bootvorganges, denn das sagen alle, sie hätten den Pc warum auch immer neu starten müssen......

was bringt ein ext. Platte wenn diese auch nicht mehr sicher ist........... nun erkläre ich demjenigen, das er diese Platte nie als Datenlaufwerk hätte laufen lassen dürfen, sondern nur zum reinen Sichern der Daten einschalten sollen und danach wie abschalten müssen....

also mit diesem "Ding" werden sich die Geister noch lange beschäftigen müssen


Grüße
Didek

loewe_68 22.05.2012 08:26

Hallo und guten Morgen zusammen,
ich bin auch von dem Trojaner betroffen. und habe über mein E-Mail Programm eine E-Mail wie der Kollege 2 Postst zuvor.
Gesendet: Donnerstag, 17. Mai 2012 um 04:36 Uhr
Von: wrslupus@web.de
An: *******@web.de
Betreff: Ihr Lieferschein Id 75877389
Sehr geehrte Damen und Herren,

Danke für Ihre Bestellung bei macXperts, nachfolgend finden Sie Ihre Antragsbestätigung.

Ihre Bezahlnummer: 319000144285
Artikel: Coluco 9320473443 5051,08 Euro
Rechnungsname: Wie in Bestelldetails abgebildet


Zahlungsmethode: Mastercard

Versandadresse und detaillierte Rechnungsdaten finden Sie wegen Sicherheitsgründen im Zusatzordner.

Die Überweisung wurde autorisiert und wird innerhalb 4 Tage entzogen.
Kaufauflistung und Storno Möglichkeiten finden Sie im Zusatzordner in der E-Mail.


Ihr E-Mail-Support

Seeberg GmbH
Culinstrasse 66
49914 Hannover

Telefon: (+49) 786 2283478
(Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr)
Gesellschaftssitz ist Bad Bentheim
Umsatzsteuer-ID: DE214313877
Geschäftsfuehrer: Frieda Mayer

Also scheint das der gleiche zu sein. Ich komme weder über den abgesicherten Modus rein, noch läßt sich auf der Platte das BS neu installieren. Bricht immer bei Formatieren der Festplatte ab ??? Komisch oder. Also wenn Ihr mir da auch helfen könntet bzw. wenn es mit Rettung der Daten ging wäre gut aber nicht nötig. Aber zumindest das man ein neues, saubers Betriebssystem drauf bekommt. Ich habe auch mit der Kaspersky Rescue CD versucht was zu machen, er entlockt zwar einige Dateien, fährt auch kurz hoch, doch nach ca. 30 sek erscheint das UKash Fenster wieder. Zum Verzweifeln. Wo sitzen diese Schw... die diese dinger ins www setzen, die müßte man doch mit Ihren eigenen Mittel schlagen oder

LG aus den soonigen Rheinland
loewe_68

eurojutz 22.05.2012 08:29

habe übers internet jetzt eine alternative gfunden zum beheben, es nennt sich de-cleaner rettungssystem, ahbe es runtergeladen als iso gebrannt und damit den rechner gestartet, nun ja jett läuft noch das programm seit über ne halbe stunde, wenn das programm (scanner) abgeschlossen ist sollte es behoben sein allerdings raten die nochmal einen anderen scanner wie z.b. eset durchlaufen zu lassen, damit sollte es behoben sein bin mal gespannt übrigens das programm bzw. rettungssystem ist von eco, Avira und computerbild zusammen gestellt worden und wird von der Bundestanstalt für sicherheit der interne... gefördert. den link für das system findet ihr unter www.botfrei.de
hoffe euch auch damit zu helfen

didek 22.05.2012 08:31

Hallo loewe_68,

eine Frage an dich....hast du diese Mail evtl. noch???????? wäre klasse wenn wir mal eine org. Mail bekommen würden.

da wir nach einer Lösung suchen, bzw. nach einer Routine


die einzige Rettung für dich ist, den ganzen PC neu aufzusetzten...... damit du sicher gehen kannst das auch wirklich alles auber ist

wir haben hier 5 Rechner alle mit der gleichen Scheixxxx.......
müssen alle neu machen

Grüße
Didek

PS. es gibt von Microsoft eine Rettungstool für den PC nennt sich "Microsoft Antivirus Boot CD" oder "Windows Defender Offline" gibt es als 32bit u 64bit Version...... damit bekommt man lt. MS den Rechner wieder sauber

der Link zum Download:
hxxp://windows.microsoft.com/de-DE/windows/what-is-windows-defender-offline

an Ende der Seite findet Ihr die beiden Download-Buttons

loewe_68 22.05.2012 08:56

Zitat:

Zitat von didek (Beitrag 831807)
Hallo loewe_68,

eine Frage an dich....hast du diese Mail evtl. noch???????? wäre klasse wenn wir mal eine org. Mail bekommen würden.

da wir nach einer Lösung suchen, bzw. nach einer Routine


die einzige Rettung für dich ist, den ganzen PC neu aufzusetzten...... damit du sicher gehen kannst das auch wirklich alles auber ist

wir haben hier 5 Rechner alle mit der gleichen Scheixxxx.......
müssen alle neu machen

Grüße
Didek

PS. es gibt von Microsoft eine Rettungstool für den PC nennt sich "Microsoft Antivirus Boot CD" oder "Windows Defender Offline" gibt es als 32bit u 64bit Version...... damit bekommt man lt. MS den Rechner wieder sauber

der Link zum Download:
hxxp://windows.microsoft.com/de-DE/windows/what-is-windows-defender-offline

an Ende der Seite findet Ihr die beiden Download-Buttons

Hallo und super für die schnelle Antwort,
nein leider kann ich mit der e-Mail nicht mehr dienen, da ich ja auch nicht mehr an diese Dateien komme. Ich denke auch das ich das Gerät neu aufsetzen muss bzw. will aber leider bekomme ich egal was ich versuche nach einer Zeit immer einen Bluescreen oder der Rechner start unaufgefordert neu. Die Frage die sich mir stellt?? Kann diese Variante da evtl. sogar soweit gehen das selbst die Neuinstallation verhindert werden kann??? Mh oder sogar zerstörerisch sein kann. Selbst wenn ich versuche die Platte mit DBAN zu schreddern kommen irgendwelche Hyroglüfen. Alles ganz komisch oder???

LG
loewe_68:killpc:

Zitat:

Zitat von eurojutz (Beitrag 831805)
habe übers internet jetzt eine alternative gfunden zum beheben, es nennt sich de-cleaner rettungssystem, ahbe es runtergeladen als iso gebrannt und damit den rechner gestartet, nun ja jett läuft noch das programm seit über ne halbe stunde, wenn das programm (scanner) abgeschlossen ist sollte es behoben sein allerdings raten die nochmal einen anderen scanner wie z.b. eset durchlaufen zu lassen, damit sollte es behoben sein bin mal gespannt übrigens das programm bzw. rettungssystem ist von eco, Avira und computerbild zusammen gestellt worden und wird von der Bundestanstalt für sicherheit der interne... gefördert. den link für das system findet ihr unter www.botfrei.de
hoffe euch auch damit zu helfen

Danke erst einmal für den Tipp werde ich heute Abend zuhause ausprobieren und dann berichten. Ich hoffe das evtl. das die letzte Rettung ist.

LG
loewe-68:dankeschoen:

eurojutz 22.05.2012 09:19

habe das programm durchlaufen lassen, aber habe einfehler gemacht udn die cd zu früh rausetan, jetzt lasse ich gerade das 2.mallaufen, allerdings ist mir jetzt shcon aufgefallen das er was neues gefunden hat: TR/Dropper.gen im windos temp ordner den hat er vvorhin nicht gefunden jetzt mal schauen ob er schuldig ist

Headroom 22.05.2012 09:38

Hallo Gemeinde

Seit Anfang November kämpfe ich mit Gema/BKA und anderem
Ukash - Mist herum (Computer-Service Firma) :heilig:
Konnte bis letzte Woche ca 80 Systeme wieder herstellen
(ohne Datenverlust) - ABER:
Diese neue Verschlüsselungsvariante macht mich fertig...

Ich habe folgendes beobachtet:
Bei 2 Systemen (jeweils win XP mit SP2(!)) wurde zwar
das System "blockiert" aber die Encrypt-Routine lief nicht an.
Das Besonsondere an den beiden Systemen war, das beide
das Laufwerk "C" komplett "komprimiert hatten" (um Speicherplatz
zu sparen).

Vielleicht ein Ansatz?

loewe_68 22.05.2012 09:49

:ja ich hoffe das wird mir auch weiterhelfen. Welches Programm hast du genau laufen lassen
Ich hasse diese UKASH Sch... das da die großen Mineralölkonzerne auch noch mit machen, die verdienen ja so wenig an den Spritpreisen :rolleyes:

pcab50 22.05.2012 09:56

Zitat:

Zitat von didek (Beitrag 831714)
@ pcab50,

du hast vollkommen recht mit deinem Argumenten......

es war ja auch nur eine Vermutung.........
aber wir sind zu dieser Auffassung gekommen, da wir weder in der Bildschimmeldung (kannst du die auf der ersten Seite dieser Beiträge anschauen) noch in der Mail eine Adresse bzw. ein Bankkonto finden konnten....... was heissen würde das du keine Bankverbindung hast um den geforderten Betrag zu zahlen...es sei denn wir haben diesen Hinweis übersehen..................
denn wenn er eine Bankverbindung angegeben hätte.... wäre er greifbar.....
auch bei den von Ihm angegebenen Zahlungsmethoden, müsste ja irgendwo seine Bank hinterlegt sein...auch damit wäre er greifbar

wenn du die Bankverbindung haben solltest, wäre es super wenn du uns die geben würdest, denn unsere Kunden werden dann Anzeige stellen....denn die Daten die Verloren sind....... sind diesen Aufwand wert..........

Natürlich geben die keine Bankverbindung an, sondern nutzen ganz gezielt Ukash & Paysafecard, weil das da anonym geht. Wobei der Empfänger des Geldes ja schon irgendwie zugeordnet werden muss, sonst kommt er ja gar nicht an das Geld. Ich kenn mich mit diesen Systemen allerdings nicht aus, vielleicht kann da jemand anderes Genaueres zu sagen.

Zitat:

Zitat von didek (Beitrag 831714)
was würdest du machen, wenn du gezahlt hast, deine Daten wieder frei sind...und nach 2 Wochen kommt wieder so eine Meldung......dann zahlst du immer wieder...das ist dann schwere Erpressung.......

Grüße
Didek

Die Frage zielte darauf ab, ob denn die Urheber des Trojaners überhaupt selbst in der Lage sind, die Daten wieder zu entschlüsseln.

loewe_68 22.05.2012 10:03

Zitat:

Zitat von pcab50 (Beitrag 831841)
Natürlich geben die keine Bankverbindung an, sondern nutzen ganz gezielt Ukash & Paysafecard, weil das da anonym geht. Wobei der Empfänger des Geldes ja schon irgendwie zugeordnet werden muss, sonst kommt er ja gar nicht an das Geld. Ich kenn mich mit diesen Systemen allerdings nicht aus, vielleicht kann da jemand anderes Genaueres zu sagen.



Die Frage zielte darauf ab, ob denn die Urheber des Trojaners überhaupt selbst in der Lage sind, die Daten wieder zu entschlüsseln.

Da müßte im Rahmen unserer Gesetzgebung möglich sein diese Bankverbindung heraus zubekommen oder diese Gelder so um zu transferieren das diese Dr.. schw.. die Lust verlieren. Langsam müßte man sich da auch mal in dieser tollen globalen Welt zusammen schließen und denen den Kampf :sword2: ansagen oder wie seht Ihr das

klauspk 22.05.2012 10:03

[QUOTE=didek;831807]Hallo loewe_68,

eine Frage an dich....hast du diese Mail evtl. noch???????? wäre klasse wenn wir mal eine org. Mail bekommen würden. .....
Grüße
Didek

Hallo Didek,
ich habe die Originalmail mit zip-Anhang noch verfügbar.
Wie kann ich sie dir zukommen lassen ?
Ein Jpeg-Pärchen könnte ich anhängen.
Gruß
klauspk

loewe_68 22.05.2012 10:14

[QUOTE=klauspk;831849]
Zitat:

Zitat von didek (Beitrag 831807)
Hallo loewe_68,

eine Frage an dich....hast du diese Mail evtl. noch???????? wäre klasse wenn wir mal eine org. Mail bekommen würden. .....
Grüße
Didek

Hallo Didek,
ich habe die Originalmail mit zip-Anhang noch verfügbar.
Wie kann ich sie dir zukommen lassen ?
Ein Jpeg-Pärchen könnte ich anhängen.
Gruß
klauspk

Nein ich habe leider diese E-Mail nicht mehr bzw. komm nicht mehr dran:headbang:

Tcon 22.05.2012 10:19

Er erzeugt auch neue Dateien ! Wenn ich die Schattenkopie mit dem Befall vergleiche sind in den Verzeichnissen mehr veränderte Dateien als ursprünglich .

didek 22.05.2012 11:02

Hallo klauspk,

das ist Super......
habe dir eine PN zukommen lassen......


wäre doch gelacht, wenn wir diesem scheixxxxx Teil nicht den Gar aus machen könnten........

Grüße
Didek

grahlke 22.05.2012 11:06

Da diese neue Variante in einem Wahnsinnstempo beim Neustart den Schaden anrichtet, glaub ich nicht, daß dafür wirklich jede Datei angefasst wird. Wahrscheinlich manipuliert der Trojaner "nur" die MFT und stubbst den Dateianfang ein Bit nach rechts oder links, was dann wie eine Verschlüsselung aussieht aber natürlich nicht berechenbar ist. Leider weiß ich zu wenig von Dateisystemen, um mit dieser Idee weiter zu machen. Der Hinweis auf die komprimierten c:-Laufwerke hat mich auf diese Idee gebracht, da hier die eigentliche MFT nicht benutzt wird. Es existiert doch ein Backup der MFT, was passiert, wenn man dies einspielt. Falls der Trojaner wirklich das Versprechen der Dateifreigabe bei Zahlung hält, müßte auf dem Rechner irgendwo ein weiteres Backup der Original-MFT liegen, das bei Zahlung wieder eingespielt wird.


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:09 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131