|
Lizenz Trojaner verschlüsselte und originale Datei erst ab Byte 11264 (x'2c00) gleich Beim PC (Windows XP) einer Bekannten hat der Lizenztrojaner zugeschlagen. Sie hatte eine Mail geöffnet, und die sich im Attachement befindliche Datei "zahlschein.exe" ausgeführt. Eine externe Sicherung der Daten gibt es natürlich nicht. Sieht genauso aus wie in Eurem Video. Bei solchen Problemen gehe ich immer so vor: -Mit ACRONIS-CD einen Clone der Festplatte erstellen. -PC komplett neu aufsetzten -Vom Clone die Daten kopieren Und dann die böse Überraschung. Es gab, von ein paar Fotos im Ordner Digicam abgesehen, nur mehr noch Dateien im Format: locked-<originaler Dateiname>.<eine vierstellige Buchstabenkombination> Alle, mit denen von Euch vorgestellten Tools, auch mit DecryptHelper-0.5.3.jar zu entschlüsseln sind fehlgeschlagen. Ich habe die beiden (im Anhang) binär verglichen, und stellte fest, dass diese erst ab dem Byte 11264 (x'2c00) wieder gleich sind und nicht wie angenommen ab Byte 4096. Der Trojaner wurde angeblich von CISCO am 4.5.2012 das erste Mal entdeckt. Ihre Dateien wurden am gleichen Tag verschlüsselt. Avira hatte nicht angeschlagen. Vielleich könnt Ihr mir weiterhelfen. Besten Dank im Voraus |
hi, 1. die infektionsquelle war warscheinlich ne mail, für die zukunft gilt deswegen: an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert. wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ: .eml einstellen. dann mail an: http://markusg.trojaner-board.de dort die soeben erstellte datei anhängen. wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen. sie können dann dorthin solche verdächtigen mails senden. diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig. 2. welche tools hast du zum entschlüsseln versucht? |
Hi, natürlich war es eine Mail, wie bereits beschrieben. Da ich den PC neu aufgesetzt hatte, ist der Trojaner vom PC natürlich weg. Ich nur mehr das Problem mit den verschlüsselten Dateien. Ich habe alle im Trojaner-Board.de angeführten Tools probiert, ohne Erfolg. In einem Video wird gesagt, das dieser Trojaner nur die ersten 4096 Byte verschlüsselt; diese Tools versuchen anscheinend den Schlüssel aus diesen 4096 Byte zu errechnen. was ist aber wenn die ersten 11264 Byte verschlüsselt sind. Wenn es euch nützt werde ich versuchen, die originale Mail an Euch weiterzuleiten. mfg |
wenn du sie noch hast, ja. naja, das vidio wurde nun mal nicht aktualisiert, die malware schon. es gibt seit ner weile variannten, wo die verschlüsselung angepasst wurde. |
Hi, Danke für die schnelle Antwort; Ich wollte Euch direkt auf Euer Mail antworten. Funktioniert nicht; siehe weiter unten. Leider wird mir in dieser Antwort kein Attachement mehr angeboten. Bitte sagt mir, wie ich Euch die Datei 04.05.2012.zip zukommen lassen kann. Der Inhalt: (Empfängername geändert) Von: rafareb@terra.com.br <rafareb@terra.com.br> Datum: Freitag, 4. Mai 2012 08:19 Betreff: Warenerwerb Renata K. 08377812578 (Name von mir geändert) Inhalt: Sehr geehrte/r Renata K., Ihr Mitglieds-Konto wurde aktiviert. 820,25 Euro Teilnehmerbeitrag ist ab sofort zu bezahlen. Die Zahlung wird innerhalb 2 Tagen entzogen. Sie werden bald angerufen und ein Termin wird ausgemacht. Artikelauflistung und Storno Hinweise finden Sie in beigefügter Datei. Garahe GmbH Bleckering 51 47768 Giessen Telefon: (+49) 700 0529581 (Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr) Gesellschaftssitz ist Hannover Umsatzsteuer-ID: DE645960889 Geschäftsfuehrer: John Schneider Das Attachement: 04.05.2012.zip Dieses Mäderl ist vollkommen fertig. Dissertation, Seminare, Schulungsunterlagen ... alles weg. Besten Dank im Voraus Franz Meldung von GMX: Liebes GMX Mitglied, in einer von Ihnen verschickten E-Mail wurde ein Virus gefunden. Datei: "Zahlschein.exe" Virus: "Trojan.FakeAV" Die E-Mail wurde nicht an den Empfänger weitergeleitet. Verwenden Sie bitte einen lokalen Virenscanner, um Ihren PC zu überprüfen. Es folgen Details zu der betroffenen E-Mail: Von: ... An: ... Datum: Fri, 11 May 2012 18:02:56 +0200 Betreff: Re: Neue Antwort im Thema 'Lizenz Trojaner verschlüsselte und originale Datei erst ab Byte 11264 (x'2c00) gleich' |
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:44 Uhr. |
Copyright ©2000-2025, Trojaner-Board