Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Verschlüsselungstrojaner vom 9.5.2012: Was wird für zukünftige entschlüsselung gebraucht? (https://www.trojaner-board.de/115350-verschluesselungstrojaner-9-5-2012-zukuenftige-entschluesselung-gebraucht.html)

gstr 18.05.2012 12:24
Verschlüsselungstrojaner vom 9.5.2012: Was wird für zukünftige entschlüsselung gebraucht?
 
Liebes Trojaner-Board,

hier schlug der Verschlüsselungs-Trojaner (laut Kaspersky: Trojan.Ransom.IM) am 9.5.2012 1:14 in einem T-Online-Postfach auf und wurde um ca. 8:30 Uhr versehentlich aktiviert.

Die Entfernung war problemlos, leider konnte ich bislang noch keinen passenden Schlüssel für die verschlüsselten Dateien (Typ: "locked-AlterName.Ext.xxxx") erzeugen.

Ich habe versucht, die EML-Datei gezippt und kennwortgeschützt an markusg zu senden, aber die Nachricht kam als unzustellbar zurück: quota_exceeded. Ich hätte gern gewusst, ob dieser Fall zu den bislang noch ungelösten Problemfällen gehört. Gibt es einen alternativen Weg?

Vielleicht für einige als nützlicher Hinweis: Outlook kann keine EML-Datei erzeugen. Folgende Idee hat funktioniert: Parallel zu Outlook Thunderbird installieren und die Daten von Outlook importieren lassen. Darin dann die Schädlingsnachricht wie beschrieben als EML speichern.

Herzlichen Dank für eure Arbeit,
gstr

Psychotic 21.05.2012 14:12
:hallo:

Vorgehen bei Verschlüsselungstrojaner
  1. Besuche diesen Link - hier findest du die derzeit verfügbaren Tools sowie die Anweisungen, wie du zu verfahren hast.

  2. Wenn Bestandteile des Schädlings bzw. die Email, mit der er verschickt wurde, sich noch auf deinem Rechner befinden, besuche bitte diesen Link, um die Entwicklung von Gegenmaßnahmen voranzutreiben!

Mit freundlichem Gruß

Das Team von Trojaner-Board.de

Psychotic 23.05.2012 08:12
Dieses Thema wurde aus meinen Abos gelöscht.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen!

Psychotic 28.05.2012 11:32
Hast du alle der genantnen Tools ausprobiert?

gstr 28.05.2012 21:15
Ich habe bislang vergeblich folgende Tools auf einem externen XP-Rechner, auf dem die gesicherten verschlüsselten und einige unverschlüsselte Dateien liegen ausprobiert:
Avira, ScareUncrypt, RannohDecrypter, Trustezeb.A, DecryptHelper und Panda.
Alle bislang ohne Erfolg.

Ich habe mit Hilfe von Fairdell HexCmp2 ein wenig Analyse betrieben. Dabei hat sich herausgestellt, dass diese Version des Trojaners die ersten 9KByte, 10KByte oder 11KByte einer Datei verändert. Ein entsprechendes 7z-Paket mit Trojaner und Beispieldateien ist zu Markus (und BitFox) unterwegs.

Psychotic 28.05.2012 23:28
In welchem Format sind denn die verschlüsselten Dateien?

gstr 29.05.2012 19:26
Die verschlüsselten Dateien sind zwar noch vom Typ "locked-AlterName.Ext.xxxx", aber die getesteten Tools konnten noch nicht helfen. Diese Variante ist vielleicht auch seltener aufgetreten; hier erst am 9.5.2012.

Psychotic 30.05.2012 08:01
Dann bleibt dir nichts anderes übrig, als die Tools weiter zu beobachten bzw. dich im Diskussionsforum einzulesen!

Psychotic 01.06.2012 06:45
Dieses Thema wurde aus meinen Abos gelöscht.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen!


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:52 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131