|
Tja, da kann man leider nichts machen. Ich hoffe dann auf ein Update eines Entschlüsselungsprogramms. Danke nochmal. |
@DevilTH, kannst Du die verschlüsselten Dateien den jeweiligen Originalen zuordnen? Ich denke mal, nur anhand der Größe wäre das möglich. Könnte mir vorstellen, dass an passenden Paaren bei den Spezialisten hier Interesse besteht. Gruß Volker |
Die Dateien hatten am Ende die selbe Größe. Gruß DevilTH |
Zitat:
|
Hallo alle zusammen! Ich hatte jetzt am Samstag auch so einen befall von dem Trojaner und ich denke mal das es die Version 1.140.1 wo der Dateiname und der Inhalt verschlüsselt sind.Den Trojaner habe ich mit Avira AntiVir Rescue System entfernt weil ich nicht mehr auf die Windowsoberfläche zugreifen konnte!Nun sind eben meine ganzen Dateien verschlüsselt.Habe bei einer Excel-Datei namens rQoAqEAnEjpelXs hinten noch ein .xls rangehangen und geöffnet.dann merkte ich das die Daten drin auch alle verschlüsselt sind.wie kann ich meine Daten alle wiederherstellen?Hab da eins probiert von Dr.Web aber das Programm will ja immer die Originaldatei dazu haben aber da gibts es ja keine.Die Email besitze ich auch noch wie die angebliche "Rechnung" mit dem Virus drin ist.kleiner Auszug davon: Von:alana@baggettheatingandcooling.com Betreff:Ihr Kauf 3762446482 Sehr geehrte Damen und Herren, Danke für Ihren Einkauf bei TheCerealClub, nachfolgend finden Sie Ihre Kaufbestätigung. Deine Vertragsnummer: 296176122140 Artikel: Dell 2840050143 5311,24 Euro Rechnungsname: Wie in Rechnung mitgeteilt Zahlungsmethode: Bankeinzug Versandadresse und detaillierte Vertragsdetails finden Sie wegen Vorsichtsgründen im Anhang. Die Buchung wurde autorisiert und wird innerhalb 3 Tage abgetragen. Rechnungseinzelheiten und Widerruf Hinweise finden Sie in Beilage. Ihr Kundensupport Fanu GmbH Dannerallee 48 58543 Essen Telefon: (+49) 038 6358104 (Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr) Gesellschaftssitz ist Attendorn Umsatzsteuer-ID: DE634538534 Geschäftsfuehrer: Anne Braun und im Anhang eben die Datei Lieferung.zip wie kann ich jetzt weiter vorgehen? |
Zitat:
Gruß DEvilTH |
Hallo, mich hat es auch erwischt. :headbang: Alle wichtigen privaten Daten wie Bewerbungen (besonders für mich wichtig) sind verschlüsselt mit einer Buchstaben-Zahlenkombination. Anti-Malware habe ich nach der Anleitung hier im Forum auf meinen befallenen Laptop durchlaufen lassen, aber ich bekomme die Daten trotz Decrypter nicht entschlüsselt (obwohl ich eine Referenz-Datei gefunden habe). Der Decrypter teilt mit, dass kein Schlüssel erzeugt werden kann. Sehr geehrte Kundin, sehr geehrter Kunde Frau "hier steht mein vollständiger Name", unser Logistikpartner hat Ihr Paket mit der Auftrags-ID 39430612886 zur Lieferung an Hermes Versand übergeben. Im Anhangsordner befindet sich die Abrechnung und die Zustelladresse als Druck-Datei. Sie dürfen die Rechnungsbestätigung jederzeit selbständig über den online Shop abrufen. Folgende Angaben werden abgefragt: - E-Mail-Adresse und die Bestellnummer oder - die Auftrags-Nr. und die Geräte-Id Auftragsnummer: 67506704213 Geräte Serien-Nr.: 94214823904 Buchungssumme: 136,20 Euro Ihre Bestellung ist hiermit fertiggestellt. Mit freundlichen Grüßen Ihr Kundendienst ________________ Naeta Technik Online-Handel mit Sitz in Hamburg Vorstand: Helmut Vogel, Maria Hofer Aufsichtsratsvorsitzender: Dieter Huber Amtsgericht: München 49413 _____________________________________ Genannte Email-Adresse: ciefer71@arcor.de Dann mit anhängender Zip-Datei: Bestellung.zip Betreff: Ihre Bestellung 122690234 "hier wieder mein kompletter Name" Datum: Sat, 19. May 2012 04:16:01 So sah das bei mir aus. Momentan scheinen wenigstens die wichtigsten Dateien mit dem ShadowExplorer 0.8 rettbar zu sein. Vielleicht hilft es ja auch bei euch? |
Hallo, ich habe auch den neuen Trojaner erwischt. Hat alle Daten verschlüsselt. Keine der hier aufgeführten "Reparaturmethoden" schlägt an. Die email habe ich nicht mehr. Sie kam am 17.05.2012 und hat im email Ordner alle Einträge vom 17.05.2012 gelöscht. Die überschriebenen Daten habe keine Endung. Egal ob JPG PDF MP3. Alle Ordner sind befallen. Den Trojaner haben wir durch verschiedene Reinigungsprogramme entfernen können. Die Verschlüsselung besteht jedoch weiterhin. Das System XP Serv Pack 3 startet wieder. Beim Hochfahren erhalten wir einen Fehler:SipaHost.exe - Komponente nicht gefunden. Die Anwendung konnte nicht gestartet werden, weil DVCCDBBasic100.dll nicht gefunden wurde." Wenn 15x OK gedrückt wird, verschwindet die Fehlermeldung. Einen Screenshot übersende ich. Weiterhin habe ich eine verschlüsselte Datei und eine Original Datei beigefügt. Die Größe der Dateien bleibt indentisch. Allerdings sind alle verschlüsselten Dateien "erstellt am 13. Februar 1601". Wichtig ist auch noch, dass es keinen Zugriff auf Wiederherstellungspunkte gibt. Es ist nicht möglich, vor der Infektion auf Wiederherstellungspunkte zuzugreifen. Vielleicht helfen diese Beobachtungen bei der Lösung des Problems |
Hallo, einige meiner Fotos konnte ich eben mit dem O&O MediaRecovery wieder reparieren. LG Adhideva |
Wenn jetzt noch jemand wüßte, wie man die Emails in Thunderbird wiederherstellt? Scheinbar habe ich einen Weg gefunden: http://www.trojaner-board.de/115496-...erstellen.html Ich hoffe, dass es klappt, was ich grade mache mit dem ShadowExplorer: Leeren Ordner auf dem Desktop erstellen, dann über den ShadowExplorer die Thunderbird-Daten folgendermaßen finden: C - Users - Medion (bei mir, bitte euren User selbst raussuchen) - AppData - Roaming - Thunderbird und dann in den leeren Ordner exportieren. Den Ordner z.B. auf eine leeren ext. Festplatte sichern. Ich hoffe, dass ich dann die "kaputten Daten" mit den gesicherten Daten ersetzen kann. |
Beim Thunderbird gibt es auch eine Lösung ohne Shadow. Man suche sein Profileverzeichnis (C:\Users\Benutzer\AppData\Roaming\Thunderbird) und dort die "Local Folders". Da sind in der Regel die Maildateien. Es gibt immer zwei zusammengehörige Dateien, z. B. Inbox und Inbox.msf. Das gilt für Sent, Trash, usw. Nun öffne man mit einem Editor (z.B. Notepad++ o.ä.) diese Dateien. Wenn man nun besagte 12288 Bytes runtergeht, muss man Inhalt in dieser Form finden: Code: From - Sun May 11 15:55:53 2008Da neue Mails immer unten angehängt werden, kann alles was darüber steht, gelöscht werden. So kann man die Datei wiederherstellen. Wenn ihr die Dateien dann in der Form "Maildatei1", "Maildatei2", usw. umbenennt und dann Thunderbird startet, findet ihr Ordner dieses Namens in der Oberfläche. Dann diese Mails markieren und in die entsprechenden Ordner (Posteingang, gelöscht,... -diese automatisch wieder angelegt) verschieben. Die restlichen Einstellungen wie Mailadresse, Server, usw. müssen von Hand neu angelegt werden, das sie vermutlich zerstört wurden. Michael |
An ts2000 und Undertaker vielen Dank für eure Antworten. Für ein Backup auf ein NAS würde ich einfach ein Backup Benutzer anlegen der als einziger im Backup-ordner auf dem NAS schreiben darf. Natürlich geht das nur mit Backupprogramme die sich mit anderen Benutzernamen am NAS anmelden können. Oder wo man vor dem Backup und nachdem Backup Befehle ausführen kann. Dann könnte ich "net use... verwenden". Aber das mit der Secure Zone mit Acronis finde ich sehr interessant. Ich benützte Acronis um meine SSD Platte mit dem OS regelmäßig auf eine zweite normale HD zu sichern. (Ich traue den SSD's noch nicht richtig ;-). Wäre toll wenn Du Undertaker dies testen kann und uns das Ergebnis mitteilst. Wenn das klappen würde, könnte man mit Secure Zone auch eine USB-Platte als Backup benützen. Nebenbei gibt es irgendwo ein Beispielskript mit dem man USB-Platte unter Windows mouten und demouten kann. Und falls das geht muss ich dann beim Start von Windows die Platte nicht immer über ein Skript gleich abmelden. Weil beim Start wird doch jede USB-Platte automatisch von Windows angemeldet. gruss alex |
Hallo Ich habe mir gestern per Mail (GMX) ein Trojaner runtergeladen. Es war ein Mail wo drin stand das ich was erworben hätte und die einzelheiten zum kauf finden sie im Anhang. Der Anhang war ein Rar datei wo sich eine Mircosoft office 98 textdatei dein sollte. Also habe ich die Rar entpakt und die "Textdatei" probiert zu öffnen. Das ging nicht. Mein Rechner wurde darauf hin runter gefahrn und neu gestartet wo er gespeert war. Das hab ich hinbekommen. Indem ich über den abgesicherten Modus gegangen bin und eine Wiederherstellung durchgeführt habe. Ging der rechner auch da ist mir erst aufgefahln das alle TXT.JPG.RAR usw verschlüsselt worden sind. Hab mit ein programm den Dateicode der verschlüsselt Datei (ein Bild) und den Code einer originalen Datei vergleichen lassen. Da fiel mir auf das etwar 2% der verschlüselt datei immer der anfang anderes war. Das heisst 98 % sind gleich . So ich habe alle entschlüsselungsprogramme genutz aber keins ging. Kann mir da jemand helfen.... Meine Mail Masterbob11@gmx.de |
Hallo Wolf, bei funktionierte keines der Entschlüsselungsprogramme. Ich hatte mir nach der Malware-Säuberung durch Anti-Malware den ShadowExplorer 0.8 (Edit: http://www.trojaner-board.de/115496-...erstellen.html) runtergeladen. Unter File die befallene Festplatte (z.B. C: ) auswählen. Daneben kann man aus mehreren Daten, das gewünschte Datum (habe den Tag vor dem Befall ausgewählt) aussuchen. Klickt man mit rechter Maustaste auf einen Ordner, öffnet sich das Fenster "Export". Da drauf klicken, dann neuen Ordner erstellen, am besten auf einen externen Speicher (z.B. Festplatte) und das Programm arbeiten lassen. Wenn man den neuen Ordner öffnet, findet man seine Daten wieder. Jetzt bin ich hingegangen und habe einen meiner befallenen z.B. Ordner ABC auf dem Desktop in einer neuen Ordner (benannt als Ordner ABC-gelocked, einfach nur zur Sicherheit) verschoben. Von der Festplatte habe ich dann den gesicherten, wiederhergestellten Ordner ABC auf den Desktop kopiert. Ich bin mit den Ordnern von Firefox und von Thunderbird genauso verfahren und habe somit alle Einstellungen, Lesezeichen und Emails wieder erhalten, wie vor dem Befall. Ich hoffe, dass hilft. |
Hallo zusammen, ich habe mir die verseuchten Dokumente mal mit einem Hex-Editor angesehen, in diesem Fall sind es alles PDF-Dateien...... habe hier mal ein Bild der Testdatei: http://www.designed4art.de/trojaner/Unbenannt-1.jpg in der linken Bildhälfte ist ein sauber erstelltes PDF-Dokument....auf der rechten Seite ein von uns verändertes PDF zu sehen...... wie man sehen kann reicht es aus wenn man in der ersten Zeile (siehe rechtes doc) die zuordnung ändert........ das so vermute ich mal hat dieser Virus auch gemacht...... ich bekomme heute einige org. verseuchte Dockumente....um zu sehen ob das in realen Fall auch genau so ist. wenn ja.....gibt es eine Möglichkeit, die zwar sehr auswendig und auch nicht gerade jedem zu Empfehlen ist, zumindest die wichtigsten Documente zu retten....... ob es jemals ein tool für sowas geben wird...steht zur Zeit noch in den Sternen.......so sehen wir das auf jeden Fall Grüße Didek |
guten morgen, ich habe meinen pc auf werkseinstellungen gesetzt und fange neu an.:kaffee: EVTL. VON INTERESSE: ich habe alle defekten dateien auf einen stick gezogen (falls mal was geht....) EIN FOTO-ORDNER ANNA >> 000000.jpg, al-001jpg - al-118jpg ist darauf. eine kopie dieses ordners ist sauber und enthält die original fotos sollte interesse bestehen, bitte melden. einen schönen tag und liebe grüsse monika |
Hallo ich habe heute morgen eine Mail erhalten, in welcher meine 4 Jährige Tochter vermerkt wurde mit Vor-und Nachnamen. Ich habe diese geöffnet und die Datei geöffnet. Jedoch passierte rein gar nichts. Habe alles in den Papierkorb verschoben. Als ich dann meinen Laptop runtergefahren habe und ihn 20 min später wieder anmachen wollte erschien von "Windows" ein "Update" Sehr geehrte/r Leana Erler, Danke für ihren Vertrag mit Querstreifen, nachfolgend finden Sie Ihre Bezahbestätigung. Ihre Transaktionsnummer: 070450401715 Artikel: 3ware 7283361787 5808,79 Euro Rechnungsname: Leana Erler Zahlungsmethode: Visa Versandadresse und detaillierte Vertragsdaten finden Sie aus Vorsichtsgründen im zugefügten Ordner. Die Überweisung wurde autorisiert und wird innerhalb 3 Tage abgetragen. Rechnungseinzelheiten und Widerspruch Erklärung finden Sie im zugefügtem Zip Ordner. Ihr Support-Team Hoffmann GmbH Audorfring 81 50435 Dortmund Telefon: (+49) 927 1570980 (Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr) Gesellschaftssitz ist Amorbach Umsatzsteuer-ID: DE148803122 Geschäftsfuehrer: Frieda König Was mach ich denn nun? Der Laptop gehört meinem Freund. Ich bin nun übergewechselt zum Rechner. Ich bräuchte driiiingend Hilfe!!!!! Danke Jennifer |
@ Jenna25..... wenn du nach einigen sec., nachdem der PC hochgefahren ist, ein Fenster auf dem Schirm, mit dem Titel "Sie haben sich mit einem Windows Verschlüsselungs-Trojaner infiziert"?????, hast..... sieht es nicht gut für deinen PC aus. Wenn du kein Backup des PC´s haben solltest, bzw. die Windows Wiederherstellungs-Optionen "nicht" aktiviert sind........ wird dir nicht viel anderes übrig bleiben als den PC Neu zu Installieren...... zu beachten ist auch noch, dass wenn du diesen Schädlich auf dem Pc hast, unter umständen alle deine Dokumente (Bilder, PDF usw.) auch in Mitleidenschaft gezogen worden sind........ wäre es möglich das du näheres zu dem Problem schreibst....... z.B. - wie sehen die Dateinamen deiner Dokumente jetzt aus (wie sahen sie vorher aus...(vorher: bild1.jpg...jetzt jdhgdhgd.kdas oder hasgdjhg usw.) - was macht der PC nach den Hochfahren - welchens Betriebssystem hast du (WinXp, Vista, Windows7....usw) - hast du noch zugriff auf den PC usw. usw @golldy es wäre sicher interessant.....verseuchte Dateien zu bekommen.....je mehr man zum Vergleich hat um so besser ist es eine Lösung zu finden Grüße Didek |
Hat bei mir leider einen XP-Rechner, d.h. ohne Schattenkopien erwischt. Anbei ein Verschlüsselungspaar des Hintergrundbildes winter.jpg |
@ Didek Es ist der Laptop meines freundes. Dieser kommt erst spät Abends heim. Wo genau sich die Windows CD befindet weiß ich nicht. Ich bin nun auf seinen Rechner übergewechselt. Wenn ich den Laptop starte kommt, wie du schon genannt hast, das bild auf welchem steht : Sie haben sich mit einem Windows Verschlüsselungs Trojaner infiziert. Und dann ein ewig langer Taxt und ganz unten soll man dann den 100 Euro Paysafe Card Code eingeben..... Was ich sicherlich nicht tun werde... -.- Ich kenne mich mit all dem nicht wirklich so aus...Da sind Männer geschickter drin ;) Dennoch habe ich keinerlei Zugriff auf meinen Laptop. Da ständig diese Meldung erscheint.... Ich habe Windows 7 als Betriebssystem... Wie gelang ich denn ins bios? (schreibt sich dies so) =) Ich wäre wirklich dankbar für jede Hilfe, denn ich glaube ich hab mir da was ganz böses zugelegt :( |
Falls jemand Interesse an Verschlüsselter und Unverschlüsselter Datei hat, könnte ich auch noch zwei Pärchen zur Verfügung stellen :) Gruß DevilTH |
ein bekannter hat sich anscheinend auch die neue version eingefangen anbei ein pärchen. kein windows-bild ist ein eigenes sollte aber zusammenpassen. datum und größe stimmen |
;( Verschlüsselter und Unverschlüsselter Datei |
Hallo Meine Freundin hat es heute leider auch erwischt,nichts ging mehr.Habe dann im abgesicherten Modus gestartet und hatte wohl Glück das keine einzige Datei verschlüsselt war. Vielleicht hat ja das Norton doch was gebracht. Gleich alles gesichert und jetzt mach ich mich mal ans Werk den Mist wieder runter zu bekommen ! Nur mal so zur Info für andere Glück im Unglück :daumenhoc |
Hallo Leute, meine Festplatte wurde ebenfalls komplett verschlüsselt. Musik, Bilder, Spiele - alles unbrauchbar. Habe heute gemerkt, dass das Programm (Winamp), mit dem ich Musik wiedergebe, alles normal erkennt, wenn ich die Endung .mp3 anhänge. Desweiteren habe ich gesehen, dass die Details der Datei (Eigenschaften -> Details) die normalen Informationen der Datei anzeigen, wenn man die Endung .mp3 anhängt. Also könnte man anhand dieser Informationen ein Programm schreiben, was die kompletten Dateien, anhand dieser Informationen, herstellt. Grüße! |
Hallo didek, gute Bemerkung. :applaus: Vielleicht kann man damit was anfangen. Einige Dateien konnte ich auf diese Weise wiederherstellen. Aber einige sind spiegelverkehrt und oben ist unten. Vielleicht hängt das von einer Version der pdf-Datei. Der Asatz ist gut. Ich bin sogar der Meinung, dass der Name der Datei irgendwas mit der Verschlüsselung hat, z.B. die ersten Bytes wurden gegen den Datei-Namen ausgetauscht. Wenn ich nur einen Descryptor hätte, hätte ich einiges ausprobiert. Weiter so, zusammen schaffen wir es. Gruß geos |
Hallo Wildfang hab mitlaweile mein rechner neu gemacht und die verschlüsselten datei auf ne platte gezogen. so einfach das bei dir ist ist es bei mir leider nicht etwar 2000 zeichen wurden komplett ersetzt ... wenn jemand ein programm für mein problem hat bitte melden |
@Jenna25 Also mit dem Zugriff aus das BIOS wirst du wohl nicht sehr viel machen können, da es keine Auswrikungen aus das verseuchte Betriebssystem hat. Und du hast in soweit recht damit das du dir richtig etwas eingefangen hast... das einzige was dir helfen kann, ist in diesem Fall (ich hasse das was ich jetzt sage, denn es gibt/gab immer einen Weg etwas zu retten) deinen Pc von Grund auf "Neu" zu Installieren wenn du wirklich sicher gehen willst, dass du den Schädling beseitigt hast. Was deine Daten (jpg,doc,pdf usw.) angeht, wirst du diese, wenn du keine weitere Datensicherung hast, wohl oder übel vergessen können, da es zur zeit (soviel ich weiss) keine brauchbare Lösung gibt und auch in absebarer zeit nicht geben wird. ich sitzte gerade selbst vor einigen dieser Pc`s.... Also lieber jetzt in den sauer Apfel beissen und alles Neu machen (und vorallem daraus etwas lernen)...mehr kann ich dir im Moment nicht sagen....es sind mit Sicherheit mehr als nur eine Hand voll Leute daran am Arbeiten eine Lösung zu finden...aber das wird dauern, zumal immer wieder neue Varianten auftauchen...... Was du evtl.machen könntest ist Windows 7 im Abgesicherten Modus (ohne Netzwerktreiber und/oder ohne Eingabeaufforderung) zu starten (den Abgesicherten Modus erreichst du, in dem du auf die Taste F8 drückst, sobalt die Stausmeldungen vorüber sind).... dann kannst du zumindest wieder an den Rechner (es sieht so aus, als würde das bei einigen Pc`s auch nicht gehen).... von dort aus kannst du die Systemwiederherstellung aktivieren und einen Zeitpunkt wählen der einige Zeit vor dem Befall liegt......(wenn dein Freund diese nicht deaktiviert hat).......dann könntest du Glück haben was Windows angeht...es ändert aber nichts an den geschrotteten Dateien Grüße Didek bei Fragen kannst du dich sehr gerne melden |
also das mit der outlook.pst hab ich hinbekommen! die verschlüsselte datei umbenennen in verschlüsselungsname".pst" anschließend mit scanpst.exe reparieren lassen (office07/2010 benötigt) und beim gesäuberten oder neu installierten rechner importieren. |
Hallo nochmal, hab meinen Bruder mal beauftragt & er hat mir ein Programm geschrieben, was mir sämtliche verschlüsselte Musikdateien zurückgeholt hat. Natürlich befinden sich in den einzelnen Musikordnern noch verschlüsselte Dateien, da ein Musikordner nicht nur Mp3 Dateien enthält. Aber wenigstens die Musik ist gerettet. Falls jemand Interesse an dem Programm hat, lade ich es hoch. Mfg ! |
Hallo geos, wir haben uns Referenz-Dateien mit Verschiedenen PDF-Writer´n (Acrobat, PDF-Creator, Nitro-PDF usw.) erstellt...... dabei ist mir nicht aufgefallen, dass die beschädigten Dateien spiegelverkehrt sind...... muss ich mir morgen mal genau anschauen........ wenn dem aber so sein sollte, wird es ja noch schwieriger das wieder auf die Reihe zu bekommen...... aber ein Kollege/Mitarbeiter meinte heute Nachmittag zu uns, dass wir die ganze Sache evtl. von der falschen Seite angehen...alle reden immer nur von Verschlüsselung (im Internet spricht man sogar von einer 1024bit Verschlüsselung)....... aber irgendetwas macht mich verrückt...was ist wenn "Er" keinerlei Verschlüsselung benutzt hat, sondern einfach nur wahlos die Dateinamen bzw. die Dateiinformationen ändert..ohne so wie wir fast alle denken mit einem Sinn dahinter..... ich weiss nicht aber ich kann mir nicht recht vorstellen, das dieser Freak (oder wer auch immer) es schafft, dass nur beim Booten alle Dateien so derart verändert werden können...... zumal es ja auch nur bestimmte Dateien betrifft (mp3, VOB, PSD, AVI usw. sind nicht betroffen) und ich bezweifele das ein Script in der Lage ist auf einmal diese Menge an Daten in so kurzer Zeit zu ändern (es muss geöffnet werden, es muss verändert werden und auch wieder geschlossen werden)..... was den Descryptor angeht, könnte ich dir vielleicht helfen........ Grüße Didek |
Zitat:
Bei einer Verschlüsselung ergibt sich im Gegensatz dazu das Ergebnis der Verschlüsselung aus den Ursprungsdaten & dem Schlüssel. Hat irgendwer schon was gehört ob jemand das Geld bezahlt und dadurch seine verschlüsselten Daten wiedergekriegt hat? |
@ pcab50, du hast vollkommen recht mit deinem Argumenten...... es war ja auch nur eine Vermutung......... aber wir sind zu dieser Auffassung gekommen, da wir weder in der Bildschimmeldung (kannst du die auf der ersten Seite dieser Beiträge anschauen) noch in der Mail eine Adresse bzw. ein Bankkonto finden konnten....... was heissen würde das du keine Bankverbindung hast um den geforderten Betrag zu zahlen...es sei denn wir haben diesen Hinweis übersehen.................. denn wenn er eine Bankverbindung angegeben hätte.... wäre er greifbar..... auch bei den von Ihm angegebenen Zahlungsmethoden, müsste ja irgendwo seine Bank hinterlegt sein...auch damit wäre er greifbar wenn du die Bankverbindung haben solltest, wäre es super wenn du uns die geben würdest, denn unsere Kunden werden dann Anzeige stellen....denn die Daten die Verloren sind....... sind diesen Aufwand wert.......... was würdest du machen, wenn du gezahlt hast, deine Daten wieder frei sind...und nach 2 Wochen kommt wieder so eine Meldung......dann zahlst du immer wieder...das ist dann schwere Erpressung....... Grüße Didek |
Moin, Einer meiner Kunden ist auch infiziert. Die Schattenkopien davor sind leider nicht lesbar obwohl diese vorhanden waren.... Ich warte auf ne Lösung... Bei mir wurden unter system32 zwei Dateien angelegt. Die haben als Namen eine guid. Inhalt 13kb Liegt hier der Schlüssel begraben? Wenn auch nur irgendwas an der freikaufen Geschichte dran ist muss der Schlüssel ja auf dem System sein. Die Jungs werden wohl kaum ne DB aufmachen und abgleichen welches Opfer welchen Schlüssel hat. Gruß Tim |
Zitat:
Gruß DevilTH |
@ DevilTH, stimmt vollkommen, bei den Rechnern die wie hier vor uns haben, sind die Dateien (VOB,PSD,AVI usw.) nicht betroffen, die MP3`s brauchten nur wieder mit *.mp3 versehen zu werden, dann waren die wieder in Ordnung.... Dieser "Virus" hat es bei einem unserer Kunden geschaft eine mit fast 500GB Daten beschriebene USB-Festplatte (alles pdf,doc usw) zu killen, ohne das der Rechner auch nur zuckte, so die Aussage des Betroffenen und das alles innerhalb des Bootvorganges, denn das sagen alle, sie hätten den Pc warum auch immer neu starten müssen...... was bringt ein ext. Platte wenn diese auch nicht mehr sicher ist........... nun erkläre ich demjenigen, das er diese Platte nie als Datenlaufwerk hätte laufen lassen dürfen, sondern nur zum reinen Sichern der Daten einschalten sollen und danach wie abschalten müssen.... also mit diesem "Ding" werden sich die Geister noch lange beschäftigen müssen Grüße Didek |
Hallo und guten Morgen zusammen, ich bin auch von dem Trojaner betroffen. und habe über mein E-Mail Programm eine E-Mail wie der Kollege 2 Postst zuvor. Gesendet: Donnerstag, 17. Mai 2012 um 04:36 Uhr Von: wrslupus@web.de An: *******@web.de Betreff: Ihr Lieferschein Id 75877389 Sehr geehrte Damen und Herren, Danke für Ihre Bestellung bei macXperts, nachfolgend finden Sie Ihre Antragsbestätigung. Ihre Bezahlnummer: 319000144285 Artikel: Coluco 9320473443 5051,08 Euro Rechnungsname: Wie in Bestelldetails abgebildet Zahlungsmethode: Mastercard Versandadresse und detaillierte Rechnungsdaten finden Sie wegen Sicherheitsgründen im Zusatzordner. Die Überweisung wurde autorisiert und wird innerhalb 4 Tage entzogen. Kaufauflistung und Storno Möglichkeiten finden Sie im Zusatzordner in der E-Mail. Ihr E-Mail-Support Seeberg GmbH Culinstrasse 66 49914 Hannover Telefon: (+49) 786 2283478 (Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr) Gesellschaftssitz ist Bad Bentheim Umsatzsteuer-ID: DE214313877 Geschäftsfuehrer: Frieda Mayer Also scheint das der gleiche zu sein. Ich komme weder über den abgesicherten Modus rein, noch läßt sich auf der Platte das BS neu installieren. Bricht immer bei Formatieren der Festplatte ab ??? Komisch oder. Also wenn Ihr mir da auch helfen könntet bzw. wenn es mit Rettung der Daten ging wäre gut aber nicht nötig. Aber zumindest das man ein neues, saubers Betriebssystem drauf bekommt. Ich habe auch mit der Kaspersky Rescue CD versucht was zu machen, er entlockt zwar einige Dateien, fährt auch kurz hoch, doch nach ca. 30 sek erscheint das UKash Fenster wieder. Zum Verzweifeln. Wo sitzen diese Schw... die diese dinger ins www setzen, die müßte man doch mit Ihren eigenen Mittel schlagen oder LG aus den soonigen Rheinland loewe_68 |
habe übers internet jetzt eine alternative gfunden zum beheben, es nennt sich de-cleaner rettungssystem, ahbe es runtergeladen als iso gebrannt und damit den rechner gestartet, nun ja jett läuft noch das programm seit über ne halbe stunde, wenn das programm (scanner) abgeschlossen ist sollte es behoben sein allerdings raten die nochmal einen anderen scanner wie z.b. eset durchlaufen zu lassen, damit sollte es behoben sein bin mal gespannt übrigens das programm bzw. rettungssystem ist von eco, Avira und computerbild zusammen gestellt worden und wird von der Bundestanstalt für sicherheit der interne... gefördert. den link für das system findet ihr unter www.botfrei.de hoffe euch auch damit zu helfen |
Hallo loewe_68, eine Frage an dich....hast du diese Mail evtl. noch???????? wäre klasse wenn wir mal eine org. Mail bekommen würden. da wir nach einer Lösung suchen, bzw. nach einer Routine die einzige Rettung für dich ist, den ganzen PC neu aufzusetzten...... damit du sicher gehen kannst das auch wirklich alles auber ist wir haben hier 5 Rechner alle mit der gleichen Scheixxxx....... müssen alle neu machen Grüße Didek PS. es gibt von Microsoft eine Rettungstool für den PC nennt sich "Microsoft Antivirus Boot CD" oder "Windows Defender Offline" gibt es als 32bit u 64bit Version...... damit bekommt man lt. MS den Rechner wieder sauber der Link zum Download: hxxp://windows.microsoft.com/de-DE/windows/what-is-windows-defender-offline an Ende der Seite findet Ihr die beiden Download-Buttons |
Zitat:
nein leider kann ich mit der e-Mail nicht mehr dienen, da ich ja auch nicht mehr an diese Dateien komme. Ich denke auch das ich das Gerät neu aufsetzen muss bzw. will aber leider bekomme ich egal was ich versuche nach einer Zeit immer einen Bluescreen oder der Rechner start unaufgefordert neu. Die Frage die sich mir stellt?? Kann diese Variante da evtl. sogar soweit gehen das selbst die Neuinstallation verhindert werden kann??? Mh oder sogar zerstörerisch sein kann. Selbst wenn ich versuche die Platte mit DBAN zu schreddern kommen irgendwelche Hyroglüfen. Alles ganz komisch oder??? LG loewe_68:killpc: Zitat:
LG loewe-68:dankeschoen: |
habe das programm durchlaufen lassen, aber habe einfehler gemacht udn die cd zu früh rausetan, jetzt lasse ich gerade das 2.mallaufen, allerdings ist mir jetzt shcon aufgefallen das er was neues gefunden hat: TR/Dropper.gen im windos temp ordner den hat er vvorhin nicht gefunden jetzt mal schauen ob er schuldig ist |
Hallo Gemeinde Seit Anfang November kämpfe ich mit Gema/BKA und anderem Ukash - Mist herum (Computer-Service Firma) :heilig: Konnte bis letzte Woche ca 80 Systeme wieder herstellen (ohne Datenverlust) - ABER: Diese neue Verschlüsselungsvariante macht mich fertig... Ich habe folgendes beobachtet: Bei 2 Systemen (jeweils win XP mit SP2(!)) wurde zwar das System "blockiert" aber die Encrypt-Routine lief nicht an. Das Besonsondere an den beiden Systemen war, das beide das Laufwerk "C" komplett "komprimiert hatten" (um Speicherplatz zu sparen). Vielleicht ein Ansatz? |
:ja ich hoffe das wird mir auch weiterhelfen. Welches Programm hast du genau laufen lassen Ich hasse diese UKASH Sch... das da die großen Mineralölkonzerne auch noch mit machen, die verdienen ja so wenig an den Spritpreisen :rolleyes: |
Zitat:
Zitat:
|
Zitat:
|
[QUOTE=didek;831807]Hallo loewe_68, eine Frage an dich....hast du diese Mail evtl. noch???????? wäre klasse wenn wir mal eine org. Mail bekommen würden. ..... Grüße Didek Hallo Didek, ich habe die Originalmail mit zip-Anhang noch verfügbar. Wie kann ich sie dir zukommen lassen ? Ein Jpeg-Pärchen könnte ich anhängen. Gruß klauspk |
[QUOTE=klauspk;831849] Zitat:
|
Er erzeugt auch neue Dateien ! Wenn ich die Schattenkopie mit dem Befall vergleiche sind in den Verzeichnissen mehr veränderte Dateien als ursprünglich . |
Hallo klauspk, das ist Super...... habe dir eine PN zukommen lassen...... wäre doch gelacht, wenn wir diesem scheixxxxx Teil nicht den Gar aus machen könnten........ Grüße Didek |
Da diese neue Variante in einem Wahnsinnstempo beim Neustart den Schaden anrichtet, glaub ich nicht, daß dafür wirklich jede Datei angefasst wird. Wahrscheinlich manipuliert der Trojaner "nur" die MFT und stubbst den Dateianfang ein Bit nach rechts oder links, was dann wie eine Verschlüsselung aussieht aber natürlich nicht berechenbar ist. Leider weiß ich zu wenig von Dateisystemen, um mit dieser Idee weiter zu machen. Der Hinweis auf die komprimierten c:-Laufwerke hat mich auf diese Idee gebracht, da hier die eigentliche MFT nicht benutzt wird. Es existiert doch ein Backup der MFT, was passiert, wenn man dies einspielt. Falls der Trojaner wirklich das Versprechen der Dateifreigabe bei Zahlung hält, müßte auf dem Rechner irgendwo ein weiteres Backup der Original-MFT liegen, das bei Zahlung wieder eingespielt wird. |
Nächster :) Eine Kollegin war sich 100% sicher das der Absender vertrauenswürdig ist und es sich um die Rechnung ihres Amazon Kaufs handelt. Hab sowas böses allerdings direkt vermutet, Task Manager war nicht mehr aufrufbar, direkt Sytemwiederherstellung gemacht. Rechner neu gebootet und fuhr ganz normal hoch, keine Textdatei auf dem Desktop, nichts gesperrt. Also eigentlich keine Symptome wie sonst hier beschrieben. Rechner Bootet, Task Manager geht wieder. Auf anhieb keine defekten Dateien gefunden. Windows Defender, Trend Micro Office Scan und Malwarebytes haben nichts gefunden. Systemverhalten ganz normal Was bleibt ist die ungewissheit... Gibt es irgendwelche typischen Symptome/Irgendwelche Dateien die geprüft werden können? Im Autostart/MSCONFIG ist nichts auffälliges zu finden. Als Shell ist explorer.exe hinterlegt. |
Hallo, nun auch ein Opfer dieses Trojaners. Habe mit anti malware im abgesicherten modus das system wieder zum alufen gebracht aber alle dateien sind nun verschlüsselt und umbenannt. alle meine Passwörter und auch die firefox lesezeichen sind weg. Sind die noch irgendwo gespeichert? hab mal eine Systemwiederherstellung 2 tage zurück gemacht, hat nix gebracht. Und bisher hab ich ein paar der decrypter tools probiert, aber keines hat meine original und encryptete datei angenommen, um daraus andre zu decrypten. HILFE alle meine urlaibsfotos, alle meine Hochzeitsfotos, meine Frau bringt mich um. |
@ loewe_68, ich war heute Morgen bei ARAL und habe mich einmal schlau gemacht wie das abläuft.... man bezahlt die 100€ und bekommt dafür eine Karte mit einem Code drauf (so in der Art wie einen Handy-Aufladekarte)...diesen Code gibt man dann ein und schickt den an den Hacker....... der wiederum kann mit diesem Code in div. Onlinshops und/oder normalen Geschäften einkaufen gehen......... zum Bezahlen seiner Einkäufe gibt er dann den Code an, den er von dem bekommen hat der die 100€ gezahlt hat......... das Krasse daran ist, der er den Code auch einem Kumpel oder wem auch immer geben kann, so das der Hacker selbst niemals in Erscheinung treten muss... und wenn er von den Kassierten 100€ nur 10€ ausgibt hat er 90€ Reingewinn u Steuerfrei... ist doch auch schon was......... sorry |
Zitat:
|
Alles schön und gut, die Polizei wird diesen Verbrechern schon auf den Fersen sein, aber da diese im Ausland sitzen wird das wenn überhaupt ewig dauern. Viel entscheidender ist: Wie komme ich wieder an meine Daten !? |
mein mail ist raus! decoder tools klappen bei mir nicht, bei euch? das tool kann nichtmal einen schlüssel erzeugen, weil anscheinend die files nicht gleich sind (original und verschlüsselt) |
Zitat:
Gruß DevilTH |
Zitat:
|
Hallo ! Hinweis an alle die an diesem Virus arbeiten !!!!!!!! Habe einen Kunden mit 2 befallenen PC's. Auf dem einen Win XP habe ich die Variante mit dem Eintrag 'locked-' vor der Originaldatei. Konnte diesen mit Hilfe des Tools von Avira (wo man original und verschlüsselte Dateien vergleicht) wiederherstellen. Der andere PC läuft mit win 7 64-bit und hat die Variante mit dem zufälligen Dateinamen ohne Endung z.B. FDGAFDFFDDFG. Habe einfach mal die Vergleichsdateien des XP Rechners auf den Win 7 Rechner kopiert und dort das Avira Programm ausgeführt. Ich habe testweise mal eine Datei versucht zu entschlüsseln. Das Ergebnis ist eine Datei mit gleichem Namen und der Endung -decrypted. Ich hoffe das hilft irgendwie weiter. |
Ich habe ja noch erschwerdt dazu das sich bei mir nicht mal mehr ein neues Betriebssystem installieren lässt. Ob der Trojaner noch mehr kaputt macht als was bis jetzt hier so berichtet wird ???? |
Zitat:
uuQQuugOggOOJJJJJvNNN (ohne endung) Hoffe auf einen baldigen decrypter dafür. Also im Moment bin ich machlos oder? da bringt ja neu aufsetzen uns alle nix. :headbang: |
Zitat:
|
reiter vorgängerversionen ist leer. Es MUSS ein tool zum decrypten kommen, ich hab so ca mein ganzes leben bishin zu Hochzeit da drauf |
Zitat:
Erst wenn das Kind in den Brunnen gefallen ist, ist es zu spät... Gruß DevilTH |
wie recht du hast, nachlässigkeit wird bestraft, ich bin ja eh selbst schuld. trotzdem kann ich nicht glauben, dass alle meine daten nun futsch sind. ich werd erstmal abwarten und tee trinken, die anfangs erwähnten tools sind ja auch erst einige zeit nach dem auftauchen geschreiben worden denk ich mir. und die neue version des trojaners dürfte erst 5-7 tage unterwegs sein hier. |
neu aufsetzen auf jeden Fall. irgendwo klemmt da garantiert noch was. habe aber alle daten dank ShadowExplorer wieder. also an die arbeit und neu machen. wat mut dat mut dat nützt ja nix |
Zitat:
Auch wenn der Schlüssel zum unlocken nicht bekannt ist, müsste doch der Verursacher schon erkannt sein oder? Auch die Antivirensoftware-Hersteller haben ja extra ihre Büros rund um die Welt verteilt um immer aktuell zu sein. Ich sehe bei mir gerade wirklich keine Auswirkung und es wird auch nichts gefunden... Sind bei euch nur manche Dateien gelockt oder ist das ein fortlaufender Prozess? Versucht sich der Virus übers Netzwerk fortzupflanzen? |
Hallo Miteinander! Wir sind auch IT-Supportler und bekommen auch immer mehr Anfragen von Betroffenen. Deshalb hier noch ein paar weitere Informationen und eine Einschätzung der Lage von unserer Seite: 1) Der Trojaner wird nur dann aktiv, wenn eine Internetverbindung besteht. Wenn zum Zeitpunkt der Infektion keine solche vorhanden ist, wird er nur installiert und wartet, bis eine solche Verbindung aufgebaut wird. 2) Wenn eine Internetverbindung erkannt wird, verbindet er mindestens drei mal mit dem C&C-Server, z.B.: a) hxxp://ogutors-free.com/a.php?id=8C20AF3F4B435546464F&cmd=img&win=Windows_XP_&loc=0x0407&ver=1.170.1 b) hxxp://ogutors-free.com/a.php?id=8C20AF3F4B435546464F&cmd=msg&ver=1.170.1 c)hxxp://ogutors-free.com/a.php?id=8C20AF3F4B435546464F&cmd=lfk&ldn=35&stat=CRA&ver=1.170.1&data=MON1xEF944FhyhIF7GcaNYG29T6ZflvjVTFc2zKPPP8VnTIA Zu dan Daten: ID = vermutlich Installationskennung o.ä. CMD = Kommando an den Server win = Windows Version loc = Länderkennung ver = Version des Trojaners ldn = ?? stat = Könnte ID des Affiliate (Vertriebspartners) sein data = Klingt sehr interessant - Könnte eventuell ein Schlüssel sein ?! Bei allen drei Aufrufen bekommt er Daten vom Server zurück, deren Größe sich unterscheidet: 1. Aufruf: 243,8 kbyte 2. Aufruf: 704 bytes 3. Aufruf: 4 bytes Erst nach dem Kontakt mit dem Server beginnt die Verschlüsselung. 4) Ich halte es nicht für wahrscheinlich, dass der Trojaner den MFT manipuliert. Es spricht vielmehr nichts dagegen, dass der Trojaner wirklich verschlüsselt, wie auch seine Vorgänger es taten. 5) Seine Geschwindigkeit ist allein darauf zurückzuführen, dass er a) vermutlich keinen starken Algo verwendet und b) keine Vollverschlüsselung durchführt. 6) Der Trojaner ist in Delphi / VB geschrieben, ich konnte keine Anti-Debugging Funktionen feststellen und auch keine exe-Packer. 7) Dass das Erscheinungsbild des Trojaners auf verschiedenen Rechnern unterschiedlich ist (Dateinamen, einige Daten noch ok, ...) dürfte daran liegen, wie weit der Trojaner gekommen ist, bevor Rechner ausgeschaltet wurde / Internetverbindung gekappt / etc pp. Wenn er durch ist, sind alle Dateien erstmal hin. 8) Per Wireshark durfte ich feststellen, dass er auch nach Netzwerkfreigaben scannt. 9) Und hier findet eine Prüfung einer 11111111111 zur Paysafe-Zahlung statt: hxxp://ogutors-free.com/a.php?id=8C20AF3F4B435546464F&cmd=key&ver=1.170.1&data=1:1:NTU1NTU1NTU1NTU1NTU1NTU1NTUA PS: DDoS auf die o.g. Server bringen nichts, weil a) ständig neue IPs b) es sind shared Server c) sind auf dem aktuellen Softwarestand (u.a. nginx, php) d) sind auch Cluster dabei. Abuse Mails werden auch nichts bringen (China, Russland, ...) |
bei mir sind nur die daten umbenannnt in bz uuQQuugOggOOJJJJJvNNN und ich kann damit nix mehr machen. Das mit den Shadow, wie geht das? muss ich mal lesen. |
@benton18 Versuch mal den ShadowExplorer, habe grad mal getestet. Einige Installationen machen zwangsweise eine Sicherung des Systems... ich habe auch per default meine -widerherstellung deaktiviert, aber es sind Schattenkopieen vom Anfang des Monats da, die ich wieder herstellen könnte. :) Gruß DevilTH |
hast mal nen link? ich kenn mich ned aus, es geht um meine eigenen dateien. |
Ich schick dir ne PN |
hier ist alles zu finden: http://www.trojaner-board.de/115496-...erstellen.html |
Windows 7 macht doch Schattenkopien und die kannst du mit dem ShadowExplorer ansehen und auswählen welche ordner du haben möchtest..hat bei mir schon öfters super funktioniert |
shattenkopien gefunden, aber leider nicht vom Laufwerk H, denn dort hab ich meine eigenen Bilder Bibliothek hinverlinkt, damit die SSD nicht so vollgedroschen wird damit. |
Shit-- diese Laufwerke werden nicht automatisch in der Sicherung eingebunden, das muss man manuell machen. sieht im Moment noch schlecht aus für deine Dateien. :( Gruß DevilTH |
ja leider nur Laufwerk C: wenn dus nicht eingestellt hast ... Mist .. na mal sehen was noch so kommt |
mensch bitte, ich krepiere wenn da kein unlokcer kommt. drückt mir die daumen leute |
Hallo zusammen , Ich habe mitlerweile den 2. Verseuchten Rechner mit der Variante "vXoUpjqDongtDEngOtpo" einen mit XP und einem mit Vista. Beim überprüfen der Systeme habe ich festgestellt, zum Zeitpunkt des Schreiben der Datei auf den Destop "ACHTUNG-LESEN.TXT" wurden im jeweiligen TempOrdner Dateien angelegt die vielleicht was mit der verschlüsselung zu tun haben . Trojaner 18.05.2012 File Name : Zahlschein-17.05.2012.pif File Size : 34477 byte File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit MD5 : 78ee9c318793adb145a5abdc07db8f1b SHA1 : 15479bf89d26c2a619bb8b96363367920bd8727b Online report : hxxp://r.virscan.org/919f330073b829119035561df23766ca 1. Datei "Desk.$00" Inhalt "ACHTUNG-LESEN.txt" 2. Datei "1C32CBF5464548430000FC42" 1048 Byte 3. Datei "1C32CBF5464548430000.$02" Crypt oder Schlüssel für Decodierung ? ca. 5MB Dies ist bei beiden System so nur mit einer zeitlichen Differez 17.36 Uhr u. 16.51 18.05.2012 wohl die Aktivirung des Schädlings. Die 3. Datei hat eine Zeitdiff. von ca 5 Min zur 1. was so aussieht wie die Dauer für die verschlüsselung der Dateien. So nun das Schlimmste Heute Morgen kommen schon wieder neue Mails mit geänderten Trojanern . Gerneration 3 ??? Bitte nicht. Der von heute ist (NATÜRLICH NICHT) aktiviert worden und sieht laut Code nach Visual-Basic aus. Er kommt per Mail als Passwortgeschütztes Zip und in der Mail geben die dann dass PW zum entpacken mit. Neue Version ? : 22.05.2012 File Name : Rechnung.doc .pif File Size : 65536 byte File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit MD5 : d681dab3da9d90eed18e2e108865df38 SHA1 : a2573de8c59ed0087ad321048aa761cb1b05a89a Online report : hxxp://r.virscan.org/6e7595e14125014bcd50c96308c1e4be Gibt es bei euch auch die Dateien im Temp Ordner . Bei Interesse könnte ich diese Gepackt m. PW anhängen Grüsse Rico |
Haben die Trolle nichts besseres zu tun, als ihre Sauereinen permanent zu modifizieren :( Die Dateien im TempOrdner waren mir auch aufgefallen, aber leider binär |
Ich kenne mich mit der eigentlich Antiviren Bekämpfung zwar nicht aus, für mich hieß es sonst auch einfach Virus --> Neumachen. Allerdings frage ich mich immernoch, wie ich denn nun herausfinden kann ob ich befallen bin? Irgendein Virenprogramm muss den Übeltäter doch finden, irgendwelche Spuren muss er doch hinterlassen. Wir wollen doch nicht Flammen des Feuers bewundern sondern den Gashahn zudrehen :) |
leute gebt richtig laut hier, falls eine AV-Hersteller ein decrypter tool rausgebracht hat, solang werd ich meinen Rechner erstmal nicht neu aufsetzen, ich hab keine backups (ja geht mir einen headshot) und ich MUSS die fiels wiederherstellen, sonst siehts nicht gut aus für mich (hochzeitsbilder-Urlaube usw) |
Den Rechner meiner Cheffin hat es erwischt und das Backup ist einen Monat alt, wenn kein decrypter kommt wäre das sehr sehr schlecht, wir würden sogar für einen zahlen ^^ |
@Kummi Ich habe drei verschiedene Varianten hier. Auch den, der vorgibt VB zu sein. Und ja, ich habe diese Temporären Dateien auch schon gesehen und vermute auch, dass in der 5 MByte-Datei die verschlüsselten & umbenannten Dateien referenziert werden. Irgendwoher muss der Trojaner die Info ja auch her bekommen, wie die Dateien mal hießen. Das schlimmste an diesem Trojaner ist die Aussicht auf kommende drive-by-Varianten. So lange die Dinger per E-Mail kommen ist der Schaden überschaubar. Es spricht jedoch wenig dafür, dass sich das nicht ändern wird. |
@pcnberlin Habt ihr schon einen Virenscanner gehabt, der diese Seuche geblockt hat???? Gruß DevilTH |
@pcnberlin nur kurz zu einigen angaben 5. in älteren versionen rc4 verschlüsselung bei den neuen weis ichs nicht. 6. es gab einige die eine blockierung für whireshark nutzen. außerdem nen crypter. 7. nein, das liegt an den unterschiedlichen malware versionen. @bemerkung über trolle, das sind schon professionell arbeitende leute die da drann arbeiten diese malware zu verbreiten. bitte auch nicht vergessen, da die adresse jetzt wieder geht: an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert. wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ: .eml einstellen. dann bitte lesen: makrusg - trojaner-board.de und mir die soeben erstellte datei zukommen lassen. wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen. sie können dann dorthin solche verdächtigen mails senden. diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig. |
makrus hab dir heute schon eine mail mit meinem verursacher weitergeletet. Ich würd einiges zahlen für nen decrypter. |
wie kann man die dateien entschlüsseln bei der version meine datein sind so verschlüsselt sGAqjqjyUfdfUfnELo ???? |
Bisher noch garnicht. Also abwarten und Tee trinken. |
@DevilTH Das ist wie beim BKA-Trojaner, die Dinger werden fast täglich aktualisiert, so dass sie erst erkannt werden, wenn es zu spät ist. T-Online hat einige aber zumindest als SPAM erkannt. @markusg Danke für die Infos. Leider sind meine letzten Debugging-Erlebnisse schon etwas her, aber dieser Trojaner ist schon recht interessant. Zu 7: Kannst Du abschätzen, wie viele Varianten Du von dem "neuen" hast? Wenn die Malware-Programmierer die Dinger jetzt wirklich im 6-Stunden-Zyklus ändern, dann sieht es wohl nicht gut aus mit einem Decryptor, der für alle paßt. |
Zitat:
|
@pcnberlin keine ahnung, einige. ne neue version heißt nicht zwangsläufig das nen neuer algorhytmus verwendet wird. @all shadowexplorer testen http://www.trojaner-board.de/115496-...tml#post831090 |
Hallo, ich habe stichprobenartig das Forum durchsucht und folgenden Hinweis nicht gefunden (korrigiert mich, falls ich mich irre oder nicht gründlich genug gesucht habe): Bei der standardmäßigen Installation von Outlook 2010 wird das Öffnen von Anhängen aktiviert - soll heißen, wenn der Normaluser die verseuchte Mail öffnet, wird automatisch der Anhang geöffnet und logischerweise ausgeführt ! (Zumindest konnten wir bei betroffenen Kunden diesen Infektionsweg nachvollziehen.) freundliche Grüße SteffenF |
hi, danke für den hinweis, nutze kein outlook 2010 somit war diese info für mich neu |
Zitat:
funst leider net.... mist teil hier :) |
Hallo, ich bin auch mit dem Windows Verschlüsselungs Trojaner infiziert. Es ist genau die obige Grafik, "Windows Update". Indem ich eine hier empfohlene Boot-CD brannte, kann ich mich jetzt wieder unter meinem Benutzer am PC anmelden, ohne dass diese Maske "Windows Update" kommt. Malwarebytes "Antimalware" erkennt keinen Virus auf dem PC. Genausowenig wie Symantec. Kann ich davon ausgehen, dass der Virus jetzt gelöscht ist? Es sind leider viele Fotos verschlüsselt. Der Original-Dateiname ist noch vorhanden. Ich kann mit Verschlüsseltem Foto, und noch dem Originalfoto dienen, habe ich noch auf meiner Kamera. Leider funktionierten die bisher beschriebenen "Entschlüsselungsprogramme" nicht bei mir. Könnte mir da jemand helfen? Ich kann gerne die Fotos e-mailen, die E-Mail mit dem Rechnungsanhang habe ich leider gelöscht. Das ganze ist mir vor einer guten Woche passiert... Ich habe Windows Vista 32bit. Leider bin ich echt ein PC-Laie... VIELEN DANK IM VORAUS! |
@jan38a eröffne ein thema im bereich logfiles |
Liste der Anhänge anzeigen (Anzahl: 1) Funktioniert bei euch eigentlich noch Outlook ( Office 2007)?. ich bekomme diese Meldung...Anhang. Habe schon versucht ein Backup mit Outlook Backup Assistent zu erstellen und auf eine neue Installation aufzuspielen .. dann kommt die gleiche Meldung. :heulen: Grüße Harry |
bitte auch mal den gesammten thread verfolgen, sollte eig was auf seite 15 oder so was über e-mail-rettung stehen. |
Habe gerade eine Mail bekommen mit zip Anhang wer will ich kann die morgen senden , da gerade net am pc Lach diesesmal von ner Partnervermittlung ne Zahlungsaufforderung |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:30 Uhr. |
Copyright ©2000-2025, Trojaner-Board