Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   Neue Verschlüsselungs-Trojaner Variante im Umlauf (https://www.trojaner-board.de/115183-neue-verschluesselungs-trojaner-variante-umlauf.html)

polodriver 18.05.2012 15:19

Hallo Leute,
ich habe hier auch einen Rechner sthen, welcher mit dem besagten Trojaner über eine email infiziert wurde. Die Dateien sind in dieser Art : TxoXdJptaEoQUvpsnED verschlüsselt. Wenn ich ein verschlüsseltes Bild umbenenne, also einfach so:TxoXdJptaEoQUvpsnED.jpg kann ich das Bild ganz normal öffnen. Da es bei diesem PC hauptsächlich um die Fotos geht, würde mir eine Möglichkeit weiterhelfen wie ich mehrere Datein auf einmal umbenennen kann zB. Bild1.jpg, Bild2.jpg etc. Wäre schön wenn mir jemand helfen könnte.
Vielen Dank im Voraus!
polodriver

SamF 18.05.2012 15:20

Ich kann das Mail auch nicht weiterschicken, wäre besser wenn GMX das heute morgen schon verhindert hätte.
Bin ich eigentlich der einzige bei dem keine Daten verschlüsselt wurden?
Wenn ja, stellt sich die Frage warum ich dieses Glück hatte...

fischer_andy 18.05.2012 15:59

Glaut Ihr, dass der Dateiname so verschlüsselt wurde, dass er auch wieder hergestellt werden kann? Oder dass der Dateiname in den Datei-Inhalt geschlüsselt wurde? Alles Andere wäre sehr sehr schlimm. Es wurden ja nicht nur .jpg´s und sonstige gebräuchliche Datei-Endungen zerschossen, sondern auch so "banale" Dinge wie eMail-Datenbanken (Mozilla), FritzFax (Datenbank) usw...

Es hängt also viel mehr dran, als aufgrund des Inhalts die Datei-Endung wiederherzustellen. Der frühere Dateiname wäre fast schon "existenziell wichtig".

(Jetzt bitte keine Diskussionen über Backups usw... Es handelt sich um Rechner von Kunden, die betroffen sind. Ich kann nix dafür)

Spumti 18.05.2012 16:27

mich hat es heute auch erwischt und ich bin noch verzweifelt am stöbern. kenne mich als weibchen nur minimal mit der marterie aus, deshalb hoffe ich hier bald einen thread eröffnen zu können. zum glück funktioniert mein abgesicherter modus noch. ich werde mal versuchen die mail hier reinzukopieren:
Guten Tag sehr geehrter Kunde,

Sie haben gerade bei TERRAPflanzenhandel die Premiummitgliedschaft erworben. Die Zahlung in Höhe von 127,89 EUR wird in den folgenden Tagen von Ihrem Girokonto abgeschrieben.

Sie sind jetzt für die nachfolgenden 18 Monate Star-Mitglied und können in voller Größe die Starangebote nutzen.

Zahlungsaufforderungen sind aus Vorsichtsgründen laut dem $ 6f, 8d BDSG, aus dem beigefügtem Anhang zu konrollieren.
Die Stornierung der Sonderdienste, ist mit der im zugefügtem Zip Ordner mitgelegten Wiederrufungserklärung an Jonas@Heinrich-kanzlei.de zu mailen.

Ihr E-Mail-Support

Buzzcube GmbH
Bergmannring 53
66808 München

Tel: (+49) 126 93657286
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 9.00 bis 17.00 Uhr)
Gesellschaftssitz: Bad Berleburg
Umsatzsteuer-Id: DE651662247 Geschäftsfuehrer: David Lang

Als Anhang gibt es eine zip datei...
ich bin echt sauer :( hoffentlich kann ich das wieder hinbekommen!

widder 18.05.2012 16:56

Hallo zusammen!

Es scheint, das mein PC ebenfalls diesem neuen Verschlüsselungs-Trojaner zum Opfer gefallen ist.

Auf grund des tollen Forums hier habe ich es geschafft meinen PC wieder zum laufen zu bringen (und das als Laie), aber meine Dateien (.doc, .pdf etc.) lassen sich nicht entschlüsseln. Auch nicht mit dem DecryptHelper. Die Verschlüsselung sieht genauso aus wie beschrieben.

Bilder sind jedoch nicht betroffen.

Würde Euch gerne die Email zukommen lassen nur was muss ich tun, da ich auf dem PC nicht an sie rankomme und sie noch auf dem Server des Providers vorhanden sein müßte.

Racheengel 18.05.2012 17:57

hallo



ich ahbe auch eine m ail bekommen und bin mit den nerven seit heute früh am ende.
meine war

Sehr geehrte Damen und Herren,

Besten Dank für Ihren Vertrag mit Blumenbutler, nachfolgend finden Sie Ihre Vertragsbestätigung.

Ihre Auftragsnummer: 896548154152
Artikel: Nikon 3854964463 5444,34 Euro
Rechnungsname: Wie in Vertragsdaten gekennzeichnet


Zahlungsmethode: Lastschrift

Versandadresse und detaillierte Zahlungsdetails finden Sie zwecks Sicherheitsmaßnahmen im Zusatzordner in der E-Mail.

Die Überweisung wurde autorisiert und wird innerhalb 4 Tage abgetragen.
Kaufeinzelheiten und Widerspruch Erklärung finden Sie in beigefügter Datei.


Ihr Kunden-Team

Alster GmbH
Horner Stieg 86
41073 Keiserslauter

Telefon: (+49) 334 8745384
(Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr)
Gesellschaftssitz ist Aulendorf
Umsatzsteuer-ID: DE023395120
Geschäftsfuehrer: Charlotte Lang



so kam nun nicht mehr inpc rein und probierte es mit windows defender.
nun bin ich bei problem 2 mit sehr geehrte damen und herren usw
da hilft irgendwie garnix mehr.

lasse gerade malewarebytes durchlaufen und schau was der sagt.
mit DecryptHelper 0.5.3 kenne ich mich nicht aus und avira ransom auch nicht wirklich

habe musik auf dem rechner das sind nur noch zahlen und die bilder auch nur noch zahlen und weiss eben nicht wie was ich nun mit decrypt bzw avira machen soll kann leider auch kein englisch


mfg karin und vielen dank im vorraus

hallo


habe schon alles probiert und kenne mich leider nicht aus
habe musik auf meinen rechner des sind nur noch zahlen wegen dem trojaner
und weiss nicht wie ich schlüssel usw erstellen kann. habe auch schon avira probiert kann aber leider kein englisch und kenn mich auch sonst nicht so aus mit denen programmen.
beispüielbilder und musik habe ich auf dem anderen nicht infizierten rechner noch drauf aber das klappt nicht weil datei unterschiedlich gross oder identisch stehe auf dem schlauch.
lieben gruss karin

widder 18.05.2012 18:37

Hallo Racheengel,

ich bin kein Profi in Sachen PC, doch bei mir hat folgendes funktioniert:

- Starten im Abgesicherten Modus
- Malewarebytes installiert und im Anschluss laufen lassen. Hat Trojaner gefunden und gelöscht.
- Im Anschluss auf den Windows-Button (Windows7) und bei „Ausführen“ msconfig eingegeben.
- Dort auf den Reiter „Systemstart“ und dann bei einer mir nicht bekannten Datei (bestand aus Zahlen und Buchstaben) das Häckchen entfernt und den PC im Anschluss neu gestartet.

Seitdem fährt er wieder normal hoch und ich kann ich nutzen, doch die Dateien (.doc, .pdf etc.) können gegenwärtig nicht entschlüsselt werden. Leider auch nicht mit dem DecryptHelper.

Habe dann zur Sicherheit noch mal Malewarebytes und meinen Kaspersky durchlaufen lassen, wobei der Kaspersky wohl durch das deaktivieren der o.g. Datei folgende Datei gefunden hat Trojan-Dropper.Win32.Injector.exnc.

Meine Bilder, Musik und Videodateien sind jedoch vollständig und nutzbar.

Vielleicht hilft Dir die Information ja weiter.

markusg 18.05.2012 18:45

hallo, bitte erst mal keine mails an die von mir genannte adresse senden. es sieht so aus als währen wir mit der arbeit jemandem auf die füße getreten, mein postfach wird im moment zugespamt, ich habe heute bereits rund 46000 nutzlose mails bekommen, infos über die neue adresse folgen.

Racheengel 18.05.2012 19:37

hallo widder :)

habe das nun probiert mal schauen obs klappt.

habe die verschlüsselte datei und dir original datei mit decrypt probiert da schrieb er konnte keinen schlüssel machen usw :( warum auch immer
das malware habe ich auch probiert aber im normalen modus nicht im abgesicherten. im normalen fand er einen trojaner den entfernte ich.
im systemstart habe ich nichts auffälliges gefunden und die musikdatein sind immer noch verschlüsselt weil das mit decrypt nicht funktioniert. :(

mfg karin

cad 18.05.2012 19:46

@Racheengel

erstell für dein Problem bitte hier einen eigenen Thread und poste nicht in die Threads von anderen TOs.
Danke

darkange_1 18.05.2012 21:22

Ist jemand von euch schon weiter gekommen?
Zum Glück besitze ich Windows 7 und WHS 2008 - dadurch sind alle meine Speicherorte aufn Server und darauf scheint der Virus nicht zugreifen zu können. Leider habe ich vergessen meine PST Dateien zu sichern... das kommt wenn man zu neugierig ist und faul seine Sandbox zu starten... Na ja der Mac machst ja noch^^

Somit bezieht sich das Ding nur auf lokale Pfade - auf andere Benutzer kann das Ding auch nicht zugreifen - oder habt ihr was anderes beobachtet?

Außerdem ist das Vieh bei mir nur auf die persönlichen Ordner beschränkt - also Desktop, Fotos, Videos, Dokumente - ausgehend von den Systemvariablen. Falls jemand noch was anderes gesehen hat, wäre es gut zu wissen, weil ich wie bekloppt suche, wo sich das Ding sonst so noch ausgetobbt hat.

ReginaG21 18.05.2012 21:27

Neue Verschlüsselungs-Trojaner Variante im Umlauf
 
Hallo an ???,


Bin Neu hier.
leider bin heute auch darauf reingefallen.
Hab mich sehr geärgert, dass ich diese Mail geöffnet habe.
Nun weiß ich nicht weiter. War heute in einer Computerwerkstatt und
sie haben den Trojaner angeblich entfernt?
Ich bin mir nicht sicher.
Kann Word nicht mehr öffnen. Also meine ganzen Dateien. Und auch
alle Bilder.
Internet geht noch.
Und ich habe nicht viel Ahnung.
Könnt ihr mir helfen? Oder muss ich die 200,- bezahlen?

Danke!

Regina


Sehr geehrte/r Kunde/Kundin,
>
> Danke für Ihre Bestellung bei Onlineweinkeller, nachfolgend finden Sie
> Ihre Kaufbestätigung.
>
> Deine Transaktionsnummer: 492736579956
> Artikel: ChiefTec 8348589150 5078,00 Euro
> Rechnungsname: Wie in Zahlungsaufforderung abgebildet
>
>
> Zahlungsmethode: Paypal
>
> Versandadresse und detaillierte Vertragsdetails finden Sie aus
> Sicherheitsgründen in beigefügter Datei.
>
> Die Zahlung wurde autorisiert und wird innerhalb 2 Tage entzogen.
> Artikelauflistung und Widerruf Erklärung finden Sie in beigefügter
> Datei.
>
>
> Ihr Mail-Support
>
> Schubert GmbH
> Derbyweg 60
> 77124 Köln
>
> Telefon: (+49) 441 8282578
> (Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr)
> Gesellschaftssitz ist Bad Arolsen
> Umsatzsteuer-ID: DE144705448
> Geschäftsfuehrer: Helena Koch

Racheengel 18.05.2012 21:28

ja ich sehe auch gerade es ist nur auf desktop sachen gegangen bilder auch unbrauchbare datein. habe es schon probiert mitm decrypter und avira aber funktioniert nicht trotz original und verschlüsselter datei schreibt er das er keinen schlüssel erzeugen kann warum auch immer :(:headbang:

regina wie widder schon sagte er konnte word datein auch nicht mehr reparieren. komischerweise sind die bei mir nicht betroffen. nur die bilder und musikdatein was auf dem desktop waren :(

darkange_1 18.05.2012 21:36

das hebt die Theorie aber nicht auf, bei mir hat er auch ein paar DOCS und TXT Dateien übersprungen, in anderen Ordnern sich aber ausgetobbt.
Ich habe Ihn unterbrochen, vielleicht hast du auch was gemacht? Oder er hat nur eine gewisse Laufzeit, wo er Dateien ändern darf bis er selbst aufhört.
ZUmindest hat er Dateien bei mir übersprungen, obwohl im gleichen Ort/Ordner Dateien verändert wurden und verschlüsselt.

Mal eine dumme Frage am Rande, hat jemand der das hier liest bezahlt und mal geguckt, ob sich der Trojaner selbst entfernt hat - nur zum Spaß/Test?

Plagi 18.05.2012 22:32

Hallo, bei mir hat der Trojaner auch zugeschlagen. Habe den Trojaner durch Anti malware löschen können und kann mit dem System wieder arbeiten. Jedoch kann ich die verschlüsselten Dateien mit keinem hier vorgestellten Programm entschlüsseln. Zeigt an, dass er keinen Schlüssel erstellen kann. Gleiche Symthome wie bei "Racheengel"


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:09 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131