|
Verschlüsselungstrojaner verschärfte Art eMail und Anhang mit Zip-Datei vorhanden Hallo, EMSI findet Name: Trojan-Dropper.Win32.Injector!E2 auf System-Platte \WINDOWS\system32\46B5A8FEB43FBC4C0C47.exe WINDOWS\system32\wini.exe ist: Trojan.Win32.Bublik.AMN!E1 Die Winter.jpg aus dem Beispielordner von AllUsers mit 104 KB kann man umbenennen in rGTyvdepAufloN.jpg aber ich habe hier kein Glück, daß nur der Name der Datei verstümmelt wurde, Die Datei ist so erst ein mal unbrauchbar. Gibt es schon ein Entschlüsselungsprogramm für Win32.Injector!E2 ??? Oder bewahrheitet sich die Befürchtung, daß es hier nicht mehr um Verschlüsselung geht, sondern um Zerstörung? Wenn ich hier was finde, womit ich die eMail anhängen kann und die Zip-Datei mit hochladen kann, dann mach ich das jetzt. Hoffe es hilft vielleicht doch Euch Korifähen einen Algorythmus zu finden. MfG Croco Hmm, mit dem Anhängen oder Hochladen hab ich gerade nichts gefunden, muß ich noch mal nachsehen, wie das gemacht werden sollte - Habs gefunden und an virus"at"trojaner-board.de gesendet als 7z-gepackt |
Um die Entschlüsselung solltest du dich kümmern wenn der Rechner wieder frei von Schädlingen ist Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen! Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden. Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das Log |
Hallo Cosinus, danke, daß Du Dir die Zeit nimmst. Hab den PC heute noch nicht bei mir. Aber mal für mich zum Verständnis: 1. Helfen Euch die LogFiles als Erkenntnisse über den Virenbefall und seine Spuren? z.B. um den Entschlüsselungs-Mechanismus zu bekommen? 2. Ich behandelte bisher immer einen Befall in der Art, daß ich die HDD ausbaue und an meinen Speziellen PC mit VirtualMachine hänge und von dort Scanne und bereinige . Davor habe ich eine Dockingstation und Clone die Festplatte auf eine zweite. Also ich meine, die zweite wird dann behandelt mit Scan und bereinigen. Ihr schreibt immer nicht, ob die scanns unter einem anderen-sauberen Betriebssystem durchgeführt werden sollen, oder ob es das original eigene Betriebssystem sein soll. Es ist glaube ich z.B. nicht sinnvoll einen scan mit Combofix unter einem anderen Betriebssystem zu machen. Jedenfalls werde ich auf jeden Fall, egal was kommt, den PC restlos neu aufsetzen und dann die entschlüsselten individuellen Dateien wieder dazupacken.(wenn die zu entschlüsseln gehen) Weiterhin habe ich noch nicht klären können, ob Datensicherungen vorhanden sind, weil ich für meinen erkrankten Freund eingesprungen bin, (die betroffenen Chefs sich bei dem schönen Wetter verpissen), und dachte, ok 2 mal hab ich schon helfen können mit entschlüsseln, dann ist das 3 Sunden und eine Nacht für´n PC und gut is. Hättet Ihr nun Nutzen von den Logs, oder ist das für meine arbeitsweise, der ich den PC sowieso neu aufsetze dann eher eine sinnlose Belästigung? Wie gesagt: wenn die zu entschlüsseln gehen? Es wurde doch in Forums-Beiträgen gemutmaßt, daß es durchaus sein kann, daß hier sinnloser Vandalismus betrieben wurde, weil die eMail darauf schließen ließe, daß gar kein Zahlungsempfänger existiert. Ist das so, daß man bei diesen Befalls-eMails früher erkennen konnte, daß eine Bankverbindug da ist, und daher die Bezahlung Sinn machen würde und ein Entschlüsselungs-Code wohl wahrscheinlich existiert? Ich schickte Euch ja die eMail samz Anhang, in der Hoffnung, hier zu allererst eine Beurteilung über Hoffnung und Schicksal-wegen-eigener-Dummheit abzuwägen. Also gesetzt den Fall, da wurden einige VirenSchreibAbzocker gefangen und das System (die Masche) ist zusammengebrochen und beendet. Dann gibt es noch ein paar freie Freunde und die sagen dann, "OK- wenn Ihr uns den Geldhan zudreht, dann lassen wir euch auch bluten - jetzt wird einfach nur noch zerstört - basta!, wenn einer von uns ins Gras beißt, nimmt er mindestens Zehne mit, weniger ist keiner von uns nicht wert." -- ja, so sprechen die, auch mit doppelter Verneinung und meinen es doch ernst -- MfG Croco |
Zitat:
Neue Varianten sollten per Mail eingeschickt werden, aus eigenem Interesse des Betroffenen damit man eine neue Verschlüsselung knacken kann Zitat:
Außerdem haben wir auch andere Wege zB Live-Rescue-CDs wie OTLPE oder solche von verschiedenen Virenscanner-Herstellern oder gar sowas wie desinfec't Zitat:
Grundsätzlich ist aber die Idee mit einer Rescue-Disc nicht schlecht Zitat:
Außerdem ist das sinnfrei bis kontraproduktiv ein sauberes System, das die Platte des verseuchten Rechners als reine Datenplatte angehängt hat, mit Combofix und OTL zu scannen. Solche Tools sind KEINE Virenscanner sondern Analysetools die Logs mit wichtigen Informationen erzeugen - diese tauchen dann logischerweise im sauberen System nicht auf! Wenn sieht man höchstens infizierte Dateien auf der Platte vom anderen Rechner Zitat:
Neue Verschlüsselungstrojaner werden gerade analysiert, an Lösungen wird gearbeitet Und zudem muss man in Zukunft noch stärker auf Backups Hinweisen |
Hallo noch mal, Grundsatz-Aufklärung wird hier nicht betrieben, und meine Neben-Fragen also nicht beantwortet. OK verständlich, wenn alle Zeit und Kraft darauf verwendet wird, die neuartige Verschlüsselung zu knacken. Also bei meinem Patienten gibt es noch einige nicht-gesicherte Dateien, bei denen es schön wäre, wenn die entschlüsselt und wieder hergestellt werden könnten. Da die Platte geclont ist, und mich eine Säuberung nicht sonderlich interessiert, bis auf die in Quarantäne gestellten Dateien, würde ich doch irgend wie in mitbekommen wollen, wenn es so weit ist, die Verschlüsselung des neuartigen befalls knacken zu können. Dazu ist aber die Haupt-Seite "verschluesselungs-trojaner-tools-ubersicht.html" nicht sehr gut geeignet. Ich konnte mitbekommen, daß die Zahl von 7 auf 8 Tools gestiegen ist. Was fehlt ist: welche Art von Verschlüsselung mit welchem Tool behoben werden kann. Also hinter jedem Tool ein paar Dateinamens-Beispiele Wie es aber aussieht, scheint die Art Dateiname "rGTyvdepAufloN" noch nicht entschlüsselt zu werden? MfG Croco |
Zitat:
Zitat:
Klar wäre es schön aber wenn es für die Variante noch kein Entschlüsselungstool gibt? Im Prinzip hat jeder der kein Backup vorher gemacht hat selbst schuld. Datenverluste könnte auch durch versehentllich Lösung oder defekte Festplatten aufreten Zitat:
|
Danke Cosinus, und Entschuldigung. Deine doch gute Grundsatz-Aufklärung vom 24.5.2012 hatte ich nicht mitbekommen, keine Ahnung wie mir das passiert ist. Ansonsten, klar, warten wegen der neueren Verschlüsselung, wo der Dateiname nicht locked.Dateiname.xyz sondern in der markant anderen Form, z.B. "rGTyvdepAufloN" ohne DateiNamensErweiterung erscheint. Wünsche Euch viel Kraft und Erfolg Gruß Croco |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:13 Uhr. |
Copyright ©2000-2024, Trojaner-Board
