Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   Neue Verschlüsselungs-Trojaner Variante im Umlauf (https://www.trojaner-board.de/115183-neue-verschluesselungs-trojaner-variante-umlauf.html)

DetFlem 24.05.2012 15:39

Hi, einen Bekannten hat es auch erwischt. Auf die schnelle konnte ich folgende Datei in einem Sicherungsordner wiederfinden
aus 100_4498.jpg
wurde yGEVAGofjtLrDQpOe

benton18 24.05.2012 15:51

Ich lese gerade im Nachbar-Thread dass es wichtig ist , den Trojaner ansich (in dem Falle eine **********.exe) noch zu haben, um irgendwie noch Hoffnung auf die Daten zu haben, ist das Richtig?

Nun den Trojaner ansich hab ich nicht mehr, der war in der autostart und antimalwarebytes hat dass alles gekillt.

Nidoo 24.05.2012 16:27

@benton18: Das ist ein Scherz, oder?! In welchem Thread hast Du das gelesen?!

litzedv 24.05.2012 17:17

4 Rechner habe ich jetzt Back holen können mit shadow Explorer 8 welche die neusten *.pif / rechnung.zip hatten. 3 xp Gurken hab ich noch hier stehen und warte ... und warte :)

markusg 24.05.2012 17:29

die malware an sich könnte evtl. nötig sein, um infos über die verschlüsselung etc zu erhalten

litzedv 24.05.2012 17:43

Zitat:

Zitat von markusg (Beitrag 833659)
die malware an sich könnte evtl. nötig sein, um infos über die verschlüsselung etc zu erhalten

Haste doch bekommen per email und ingame hier als link zi1 / rar in txt Form

micadig 24.05.2012 17:50

Zitat:

Zitat von grahlke (Beitrag 831892)
Da diese neue Variante in einem Wahnsinnstempo beim Neustart den Schaden anrichtet, glaub ich nicht, daß dafür wirklich jede Datei angefasst wird. Wahrscheinlich manipuliert der Trojaner "nur" die MFT und stubbst den Dateianfang ein Bit nach rechts oder links, was dann wie eine Verschlüsselung aussieht aber natürlich nicht berechenbar ist. Leider weiß ich zu wenig von Dateisystemen, um mit dieser Idee weiter zu machen. Der Hinweis auf die komprimierten c:-Laufwerke hat mich auf diese Idee gebracht, da hier die eigentliche MFT nicht benutzt wird. Es existiert doch ein Backup der MFT, was passiert, wenn man dies einspielt. Falls der Trojaner wirklich das Versprechen der Dateifreigabe bei Zahlung hält, müßte auf dem Rechner irgendwo ein weiteres Backup der Original-MFT liegen, das bei Zahlung wieder eingespielt wird.

Get Data Back for NTFS meldet->

MFT entry found@sector 97xxxxx63: '$MFT'
MFT entry found@sector 97xxxxx65: '$MFTMirr'
MFT entry found@sector 97xxxxx67: '$LogFile'
MFT entry found@sector 97xxxxx69: '$Volume'

...GDBNT läuft bei mir schon zwei Tage auf n'er externen 1TB Platte.
...wird wohl noch zwei Tage dauern,,,

Werd's melden wenn's funzt...

Undertaker 24.05.2012 18:05

Zitat:

Zitat von grahlke (Beitrag 831892)
Da diese neue Variante in einem Wahnsinnstempo beim Neustart den Schaden anrichtet, ..........

Dem ist nicht so, Die Verschlüsselung beginnt unmittelbar nach Ausführung der Datei.
Getestet mit einer Registrierung.pif, einer Variante der 12k-Verschlüsselung.

Gruß Volker

pcnberlin 24.05.2012 19:06

@micadig

Ich bin ziemich sicher, dass das nichts bringen wird. Wir haben hier auch schon einen Versuch mit einer 100 GB-Partition. Das Ding ist so schnell, weil es in jede Datei nur 3kb schreibt und er zusätzlich nach Dateitypen filtert. Das bedeutet, dass er bei z.B. angenommenen 30.000 Dateien gerade mal knapp 90 Megabyte (!) schreiben muss. Dass das schnell geht ist klar.

benton18 24.05.2012 19:38

ich hab grad im shadows explorer vom tag des infects eine .pif gefunden. sol ich die extrahieren und aufheben?
Müsste der Verursacher gewesen sein oder?

ms essentians schlätg alarm und gibt in quarantäne, toll JETZT ist zu späääät;-)

pcab50 24.05.2012 20:31

Zitat:

Zitat von benton18 (Beitrag 833700)
ich hab grad im shadows explorer vom tag des infects eine .pif gefunden. sol ich die extrahieren und aufheben?
Müsste der Verursacher gewesen sein oder?

ms essentians schlätg alarm und gibt in quarantäne, toll JETZT ist zu späääät;-)

Wenn's in der Quarantäne ist, dann ist es nicht zu spät. Da kannst du die Datei jederzeit wieder rausholen. Wie das genau bei den MSSE geht, weiß ich allerdings nicht.

nido009 24.05.2012 20:32

Moin,

nur mal so als Tipp. Bin beim Malewarebytes-Run darüber gestolpert, dass er unter c:\$recycle.bin in berwegweise unterordnern rumwühlte. Dort sind dann ein paar verschachtelte versteckte mülleimer, wo die dateien dann unverschlüsselt drin lagen....

Gruß aus dem norden....

benton18 24.05.2012 20:34

ne ich mein der MSSE hätte gleich zu begonn alarm schlagen collen, vor der ganzen sch***e;-)

ich trau mich das pif-file nicht mal ankopieren, kann nix passieren oder? hab die hosen gestrichen voll hier.

mogli4722 24.05.2012 22:42

Vorsichsthalber würde ich falls vorhanden die 2te FP abklemmen, falls da Daten drauf sind. Ansonsten zuerst ein Backup machen, bevor was passiert.

litzedv 24.05.2012 22:43

Zitat:

Zitat von benton18 (Beitrag 833700)
ich hab grad im shadows explorer vom tag des infects eine .pif gefunden. sol ich die extrahieren und aufheben?
Müsste der Verursacher gewesen sein oder?

ms essentians schlätg alarm und gibt in quarantäne, toll JETZT ist zu späääät;-)

Echtzeitschutz ausschalten und geht... Aber es dürfte auch nur dei Rechnung.zip mit Pif raus kommen :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:08 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131