Win32/Trustezeb.C - Verschlüsselungs Trojaner 2.0
 

Win32/Trustezeb.C - Die nächste Generation des Verschlüsselungstrojaners

Die neue Variannte des verschlüsselungstrojaners trägt die Versionsnummer 2.000.11

Es gibt einige Änderungen.

Neuer host:
84.72.41.161
lickes-shops.com

Zudem wird versucht, zu im moment nicht funktionierenden Seiten zu verbinden:
wmeu-list.com
dnaey-shop.com
bigedpn-adult.com
wiutumh.com
tsavwu.com
knishka-mir.ru
klubni-mir.ru

Die verwendete Mail-Adresse hat sich in der "bitte lesen.txt" geändert:

Außerdem ist es der Malware möglich einen alternativen Starteintrag zuerstellen:

Current User\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Startup

Es gibt weitere Änderungen im Code, wir informieren euch über Neuerungen.

Bitte sendet uns bitte verdächtige Mails möglichst zeitnahe zu.
http://markusg.trojaner-board.de

Zumindest sollte man schon mal in der "Host's" - Datei
präventiv diese Adressen auf die 127.0.0.1 lenken...

lickes-shops.com
wmeu-list.com
dnaey-shop.com
bigedpn-adult.com
wiutumh.com
tsavwu.com
knishka-mir.ru
klubni-mir.ru

:kloppen:

...weitere 18.700 Schrott-Seiten für die "Host's" gibt's
bei (z.B.) spybot.de :daumenhoc

Hallo
Gestern hat meine Frau den Trojaner eingefangen.Sofort wurden 2 Fenster angezeigt mit der Forderung jeweils 100€ per Ukash.Dann hat die LAN Kabel gezogen und den PC per Knopf ausgeschaltet.
Auf dem Rechner ist NOD32 Antivirus und er hat den Trojaner nicht direkt gekillt ,sondern beim Neustart, beim Versuch einen Eintrag in Registry zu schreiben.
Alle Dateien wurden in unlesbares Format umbenannt und heißen einfach "Datei".

Das ist der Name einer JPEG Datei "AAjOggOUUdTaaTEE".

Ich möchte gerne erfahren, wie man die Dateien wiederherstellt.Danke für eure Arbeit hier

Ist Dir eventuell aufgefallen, dass auf jeder Seite hier ganz oben ein Frame zu sehen ist.
Dort sind 3 Punkte beschrieben.
Vielleicht wäre zweckmäßig, mal den Link unter Punkt 3 anzuklicken?

Volker

Habe schon alles ausprobiert.JPEG tool braucht Originaldateien die ich nicht habe...Wenn ich diese hätte,dann brauche ich die verschlüsselten Dateien nicht zu entschlüsseln.Oder verstehe ich was falsch?
Der Entcryptor von Dr.Web funzt auch nicht-habe schon alle Keys ausprobiert,die dort stehen.
Außerdem handelt es sich um einen neuen Trojaner mit anderer Methode für die Verschlüsselung.Gibt es überhaupt ein Tool für die Wiederherstellung der Daten bei dieser Variante?

Ich sprach von Punkt 3 ( in Buchstaben drei )

Der Link führt hier hin, nicht zu den Tools für den "alte" Version.

Übrigens, welches JPG-Tool braucht Originale?

Volker

So,Shadow Explorer funzt nicht-> der Wiederherstellungspunkt war heute und hilft nicht mehr.
JPG Snop braucht Original Datei..Echt ich verstehe nicht wozu.

Ah ja,als erstes habe ich die Endung geändert auf jpeg bei einer Datei...Und es gab die Meldung wegen des beschädigten Headers...
Die Daten sind bestimmt weg jetzt.....endgültig

Schon mal JPEG Recovery probiert?
Vielleicht hilft das weiter.
Wiese soll die Datei weg sein, Du arbeitest doch mit Kopien, oder?
Wenn nicht, würde ich dazu raten.

Volker

Das ist ein Schwachsinn Daten zu entschlüsseln,wenn Kopien in Ordnung sind oder?

Tja,so ein Tool braucht ja Datei mit der Endung JPEG..aber meine Bilder sind nicht mehr JPEG sondern einfach Dateien ohne Endung..

Habe ein Programm gefunden R Studio...aber das ist für wiederherstellung der gelöschten Dateien.Was meint ihr?

Welch schwachsinniger Rat meinerseits, aber Du machst das schon, davon bin ich nun überzeugt.

Was meinst du mit "Kopien"? Ich verstehe darunter "Backup",sprich heile Dateien ,die geöffnet und gelesen werden können.
Es gibt ein Paar Dokumente und Bilder ,die nicht gesichert wurden und die ich gerne wieder haben möchte.
Für andere habe ich Backup auf externer Platte.Außerdem ist mir interessant,wie sowas beseitigt wird bzw.wie die Dateien wiederhergestellt werden.

@ technik

Um mal Undertaker hierbei unter die Arme zu greifen...

Kopien in der Art & Weise, das man erst mal nicht mit den Original verschlüsselten Daten seine Versuche macht.
Grund: Weil man bei misslingen sich danach jede Chance auf Rettung verbogen hat.

Nächstes Problem: Keine VSS (Vorgängerversion/Schattenkopie) mehr da, gleich fast jede einfache Chance auf Datenrettung hinüber.

Nächstes Ding: Warum eine Originaldatei haben für eine Recovery?
Na weil z.B. die alten Tools erst mit einer Originalen und einer verschlüsselten Datei einen "Key" erzeugen konnten der die Daten aller Dateien retten konnte.
Zugegeben, ich kann aktuell auch nur vermuten, das es sich hierbei bei diesem Tool um ähnliches Prinzip handelt.
(Ansonsten mich bitte verbessern...).

Und zum Schluß: Nach (mir bekanntem) aktuellem Stand gibt es außer dem erwähnten Tools und Schattenkopien und einem ordentlichen Backup aktuell (und wohl auch in nächster Zeit) KEINE andere Chance auf eine Datenrettung!
Siehe die dazu hier im Forum oft genug erwähnten Links...


Wie gesagt, ich weiß bestimmt nicht alles und habe evtl. auch hier schon was überlesen. Daher - bitte mich korrigieren wenn ich irgendwo was falsch beschrieben/erklärt/erläutert/verstanden haben sollte.^^


Grüße,
Wavetable

Nö, das Tool braucht im Filemode eine Extension, nur im Batchmode geht es auch ohne.
Aber das hat @technik ja selbst raus gefunden.
Ansonsten, alles korrekt!
Oder rede ich wieder Schwachsinn :confused:, weiß es selbst nimmer. :blabla:

Volker

Leut's, das ist für Laien nicht so trivial zu verstehen. Wer eine funktionierende Datensicherung vorliegen hat, braucht freilich nicht an den zerstörten Dateien rumfrickeln. Die Erkenntnis, daß man sich mit ungeschicktem Verhalten auf einem Datenträger die restlichen Chancen zur Spurensicherung verbaut, ist beileibe kein Allgemeingut. Man sieht zwar genügend Krimis im Fernsehen, ist aber mit der Abstraktion der Erkenntnisse überfordert.

Es ist doch ganz einfach:
Von dem verschlüsselten Ordner erstellt man eine Kopie. Mit dieser Kopie kann man herumexperimentieren bis das Mainboard schmilzt. Macht man hingegen die Experimente mit dem original verschlüsselten Ordner, so muss man sich nicht wundern, wenn jegliche Chance auf eine Datenrettung verbaut ist.

Das ist sogar für einen Laien wie mich einfach zu verstehen.
Aber vielleicht bin ich ja nur 'ne Ausnahme...

Peter, Du hast zweifelsohne Recht und ich versuche angepasst auf die Fragesteller einzugehen, wobei aber der Ton die Musik macht.

Ich habe hier Leute "kennengelernt", bei denen ich für eine verständliche Erklärung auch mal im Urschleim krame,
aber auch Besserwisser, bei denen ich dann nix mehr sage.

Gruß Volker

Nun, lange genug habe ich mit und später dann auch in einer Softwareschmiede gearbeitet (nicht als Programmierer oder Supporter), um zu wissen, was das für Euch bedeutet.

Hier war das offenbar schlicht nicht nur ein Mißverständnis - der gute Mann hat geglaubt, für die Wiederherstellung aller zerstörten die dazu passenden unzerstörten Dateien zu benötigen - das war ja auch mal so, nur das man da _nur_ein_einziges_Pärchen_ zur Erkenntnisgewinnung für die restlichen paar tausend Dateien brauchte. Das hatte mich im ersten Moment auch etwas verwirrt, aber in solchen Situationen hilft einem in der Regel stures Weiterlesen irgendwann auf die Sprünge.

Hey Technik,

hast Du das Zeug schon entschlüsselt bekommen? Ich versuche das auch erade, bei mir sind es hauptsächlich Textdateien :(

Verschlüsselungs Trojaner 2.0
 

Wir retten alle Ihre Daten (ausser Windows XP). Auch nach Angriffen des neuesten Verschlüsselungs Trojaners!
PC, Laptop einschicken, 2 Tage später haben Sie alle Ihre Daten wieder!

Datenrettung bis 500 MB = € 45,00, je weitere 500 MB plus € 15,00.

Sinnvoll danach komplette Neuinstallation, mit allen Treibern und allen wichtigen Programmen = € 65,00

Computerfachgeschäft
***
:taenzer:

moin moin,
eine ziemlich kühne Behauptung, wobei ich besondern Wert auf alle lege.
Garantiert Ihr dafür?
Wie sehen denn die Vertragsbedingungen aus, wenn ich Euch damit beauftrage?

Volker

So ein Schwachsinn! Die hoffen einfach nur darauf das die Windows Schattenkopien aktiviert sind und kopieren alle Dateien mit dem ShadowExplorer, also reine Abzocke! Selbst jemand ohne IT Wissen könnte die Daten aus einer Schattenkopie wiederherstellen ....

@ computerfach

Schließe mich der Frage von Undertaker an. Das würde mich auch mal interessieren.^^


Grüße,
Wavetable

Hallo,
war im Internet am surfen und plötzlich hatte eine Bild wie die vom Verschlüsselungstrojaner. Nur auf dänisch. unten stand irgend etwas von 100€ und ein Code button. Der Rechner konnte noch im abgesicherten Modus gestrtet werden. bei mir habe ich eine Wiederhestellungspunkt von mittags wieder hergestellt und im Moment kann ich wieder arbeiten. Ist etwas von einer dänischen variante bekannt.
Rechner Windows 7 Prof
Kaspersky internet security 2012 (eigentlich aktuell)

Ob auf dem rechner irgend etwas verschlüsselt wurde kann ich im moment noch icht sagen. wird beim befall alles verschlüsselt oder nur gewisse teile ?
Gruss
Ralf

na klar, wenn da außer xp steht kannst ja eig nur shadow explorer sein.

trojaner board:
wir retten ihre daten, 0 €, wer mag kann aber spenden, der computer bleibt zu haus, 2 tage können wir aber nicht garantieren :-)
aber dafür kennen wir noch ein paar möglichkeiten für xp, gibts auch, ohne aufpreis.

Hallo Ralf,

Die erscheinende Grafik bedeutet nicht zwingend, dass es sich um einen Verschlüsselungstrojaner handelt.
Wenn, dann werden die Dateien sofort verschlüsselt.
Betroffen sollten zumindest Deine Eigenen Dokumente, unabhängig vom Format (Text, Bild, Video), sein.
In der Regel werden auch die Zugriffsrechte eingeschränkt, beispielsweise auf den Taskmanager und den Registryeditor.

Es kann aber auch eine Variante der schon länger bekannten GVU/BKA-Trojaner sein, ohne Verschlüsselung.
Das ist sogar anzunehmen, da der Verschlüsselungstrojaner bisher nur über Mailanhänge verbreitet wird und nicht so einfach beim surfen, also Drive-By, auf den Rechner kommt.
Auszuschließen ist es allerdings nicht, auch der Verschlüsseler wird weiterentwickelt und modifiziert.

Eine dänische Variante ist durchaus möglich. Der massive Einfall in Deutschland seit April 2012 wurde von Malwarespezialisten schon im Mai als "Testlauf" für eine weitere Verbreitung angesehen.
Mir persönlich ist ein Fall vom Mai/Juni aus Irland bekannt.

Volker

na es gibt sie schon mit verschiedenen texten holländisch, englisch usw.
zumindest die bka und sonstigen malware variannten.

Das ist schon harter Tobak und verdammt teuer :wtf: Ich bin selber selbstständig und habe viele Leute die sich den Trojaner eingefangen haben, als ich den ersten mit dieser neuen Verschlüsselung hatte, hab ich ganz schön komisch geguckt weil wirklich gar nichts half die Daten zu retten.

Immerhin ist es mir möglich zumindest ca. 60-70% der betroffenen Bilder zu retten, dafür nehme ich pauschal bei meinen Kunden 49 Euro. Bei den preisen die da genannt wurden, würden meine Kunden mir die Rechner (zurecht) um die Ohren hauen!
Leider lassen sich Mp3 Dateien (noch) nicht retten, es wird zwar öfter beschrieben das ein einfaches umbenennen bzw. anhängen der .mp3-Endung reicht, dies ist aber bislang leider nicht der Fall, die Datei bleibt unbrauchbar. Auch für Office-Dokumente gibt es leider noch nichts, zumindest habe ich noch nichts gefunden was sie perfekt wiederherstellt. Ich hoffe das sich da noch was tut, war bislang stiller Mitleser hier und wollte mich nun doch mal zu Wort melden als ich die Preise da sah...

Leider haben die meisten Leute immer noch nicht verstanden wie wertvoll regelmäßige und häufige Backups sind, die langen Gesichter wenn ich sage das man nicht viel wird retten können kann man sich vorstellen.

Seis drum, vielleicht wird der ein oder andere AV-Hersteller noch ein Tool zum fixen rausbringen, an dieser Stelle jedenfalls vielen Dank für die tolle Arbeit des Trojaner-Boards welche mir als Nachschlaghilfe schon einige male geholfen hat! :daumenhoc

moin moin,
meine Erfahrung ist umgekehrt.
Möglicherweise kommen nicht alle Player damit klar, aber der sequenzielle Aufbau einer MP3-Datei, mit eigenem Header pro Sequenz macht es dem Decoder leicht sich zu synchronisieren.

Volker

Hallo Volker,

habe gerade mal etwas probiert, VLC hat es geschafft eine Datei tatsächlich abzuspielen. Der Kunde hängt jedoch sehr an iTunes, ich kenne es, dass VLC defekte Header von Video-Dateien reparieren kann, lassen sich die Header von Mp3 Dateien auch retten?

Da muß kein Header gerettet werden.
Das liegt am Aufbau einer MP3-Datei.
Eine MP3-Datei besteht aus einzelnen Frames
Bildlich ausgedrückt, wie eine Perlenschnur, wobei jede Perle ein Frame ist.
Jedes Frame, also jede Perle besteht aus einem Header und Audiodaten.
Jede Perle enthält also ein Stück des Liedes.
Am Anfang jedes Headers steht ein Syncblock.
Eine Perle sieht dann also so aus:
[Perle, sprich Frame]
bzw.
Perle = [{Header}+(Audioteil)]
bzw.
Perle = [{sync+Restheader}+(Audioteil)]

die ganze Datei also so:

[Perle_1, sprich Frame_1]+[Perle_2, sprich Frame_2]...+[Perle_n, sprich Frame_n]

Der MP3-Decoder "sucht" die Syncblöcke im Header jedes Frames und spielt dann die im Frame enthaltenen Audiodaten ab.
Anschließend springt er zum Sync des nächsten Headers im nächsten Frame.
Darum kann man eine MP3-Datei auch von jedem Frame aus starten und abspielen.
Grob ausgedrückt ist das wie bei Kapitelmarken einer DVD.

Außerdem stehen am Anfang oder Ende einer MP3-Datei die ID3-Tags, wie Titel, Interpret, Tumb des Covers usw.

Wenn der Trojaner die ersten 12k zerstört, dann synchronisiert sich der Decoder auf das nächste brauchbare Sync im Header des nächsten brauchbaren Frames und spielt treu und brav die Audiodaten ab.

Wenn am Anfang die ID3-Tags kaputt sind und vielleicht ein oder zwei Frames, dann merkst Du das kaum.

Und genau aus diesem Grund funktioniert das bei MP3s.
Die Dateien sind nach wie vor kaputt, nur merkst Du es nicht oder kaum.

Wenn ein Player auf ID3-Tags besteht, bei Apple kann ich mir das vorstellen, dann muss man die halt neu erstellen.
Tag+Rename und solche Konsorten sollten das richten können.
Ist aber zeitintensiv.

Wenn Du genaueres über MP3s erfahren willst, dann schau hier.

Volker

iTunes kommt auch ohne Tags zurecht, aber von 10 Dateien die ich hier habe, habe ich nur eine mit VLC zum Abspielen bekommen. Der Media Player, iTunes und Winamp streiken.

Bist Du Dir sicher, dass das MP3s sind und nicht FLACs oder ein anders Format und ob die vorher in Ordnung waren?

Sorry für die späte Rückmeldung: Ja, es sind MP3 Dateien. Mein VLC unter OS X spielt die Dateien tadellos ab, werde sie noch mal neu Codieren und sie dem Kunden wieder zur Verfügung stellen :)

Wird das Beste und Schnellste sein, Zeit ist Geld, die keiner gern bezahlen will.

Gruß Volker

Hallo,

gibts schon neuigkeiten zum entfernen des Trojaners?

Gruß
Harador

Nein, nichts Neues. Kann nach wie vor bedenkenlos entfernt werden.

hallo leute.ich habe hier die zwei logfiles...wie muss ich dann weiter machen???
bin nicht wirklich geschickt mit dem compu...:kloppen::kloppen::kloppen:OTL EXTRAS Logfile:
--- --- ---
OTL EXTRAS Logfile:
--- --- ---
OTL EXTRAS Logfile:
--- --- ---

Was heißt da entfernt?
Ich hab immernoch einen Laptop auf dem alle Dateien kryptisch Verschlüsselt sind und sich bis jetzt nicht entschlüsselen lassen. (keins der Entcrypt Tools funktioniert) Dafür gibt es meines Wissens noch keine Lösung, außer ich hab da was überlesen.

Entfernen kann ich den Trojaner nur die Daten sind noch verschlüsselt...

Zum Entschlüsseln gibts dann wohl nix neues?

moin moin,
ist Dir der Text oben entgangen?
Du bist hier im falschen Forum.
Deine Anfrage und das Logfile gehören in Plagegeister.
Hier wird keiner das Logfile auswerten und individuelle Hilfe leisten.

Volker

@Hardor,
Deine Frage war:
"gibts schon neuigkeiten zum entfernen des Trojaners?"

Nein, der Trojaner kann nach wie vor bedenkenlos entfernt werden.
Insofern ist diese Aussage von @sonshice völlig korrekt.

Was hat also diese Frage mit den verschlüsselten Dateien zu tun?
Du mußt schon selbst wissen wonach Du fragst.

Volker

richtig, falsche Fragstellung meinerseits.

Entfernt ist der Trojaner, die Datein sind noch verschlüsselt.
Gibt es inzwischen eine Möglichkeit diese zu entschlüsseln?


Gruß
Harador

moin moin,
nein, es gibt noch nichts besseres als die Datenrettung mit herkömmlichen Tools.
Wie Du sicher weisst, ist der Erfolg dabei unterschiedlich, je nach Dateityp.

Meines Erachtens wird es auch kein Tools geben.
Selbst das ausloten der Möglichkeiten per Brute Force ist bisher niederschmetternd.

Da es hier "nur" um private Dateien von Nutzern und nicht um irgendwelche FBI-Rechner geht, ist auch von den Behörden kein Druck zu erwarten und länderübergreifend schon garnicht.

Volker

hi @ gast, der eine
Microsoft-Services-Agreement-UserId505533801972.zip
im upload channel hochgeladen hatt, dass ist zwar nicht der verschlüsselungstrojaner, sondern backdoor.andromeda, aber wenn du mehr davon bekommst, leite die mal an mich per mail weiter.
das gute stück läd einen zbot trojaner