Windows Verschlüsselungs Trojaner TR/Matsnu.A.6 ACHTUNG PC nicht im abgesicherten Modus starten
 

WARNUNG AN ALLE!!!!!
Hallo an alle,

Ich habe mir mit Win 7 64 Bit über PMAIL den Windows Verschlüsselungs Trojaner eingefangen.
Meine Version ist die mit den 400 freien SMS und 364,45.- Euro Jahresbeitrag.
Der Trojaner zerstört leider das Mailverzeichniss von PMAIL und ist dann nicht mehr verfügbar.
Ich habe den Rechner im abgesicherten Modus für die Scans gestartet und muss nun definitiv feststellen das der Trojaner auch in diesem Modus weiterarbeitet, zumindest das Verschlüsselungs Tool.
Der Rechner ist dann zwar nicht blockiert, aber das Verschlüsselungstool von Matsnu.A.6 verschlüsselt im Hintergrund schön weiter FP um FP.

Die Dateien werden nicht mehr umbenannt sondern ohne Änderung des Systemdatums verschlüsselt oder zertsört.

Den Trojaner konnte ich NUR mit der Rescue CD von AVIRA finden die unter UNIX bootet!

Mittlerweile bekomme ich täglich weitere emails wie sie hier im Forum täglich gepostet werden.

Gestern früh habe ich dann eine Erpressungs email bekommen in der steht das mein PC bespitzelt wurde (im Anhang eine .zip Datei mit angeblichen Daten oder wieder einem Trojaner enthält) und ich soll Vorschläge unterbreiten.

Paralell dazu hat mein Smartphone gestern Früh, Gestern Mittag und dann mitten in der Nacht eigenständig (Ferngesteuert?) angefangen unterschiedliche Telefonnummern aus der Adressdatenbank anzurufen.

Markusg ist seit Tagen nicht mehr via mail zu erreichen und ich weiss nicht so recht was ich machen soll.

Ich werde heute erst einmal die mails ausdrucken und zur KRIPO gehen wegen Erpressung und wegen Einbruch in meinen Privatbereich und Zerstörung von Eigentum (Software).
Das gleiche rate ich allen Betroffenen. Wenn die Anzahl der Strafanzeigen hoch genug ist muss Polizei und Staatsanwaltschaft regieren, wenn die Anzeigenzahl in die 100000 tausender geht üben wir Betroffene auch politischen Druck aus, der kann auch eine kleine Polizeiaktion zur Not in Costa Rica bewirken.
Vielleicht gibt es Leute die tatsächlich per u-cash bezahlt haben. Die Polizei bekommt die Empfänger in ein paar Minuten raus!

Angst muss man sich wegen der Erpressung nicht machen, selbst wenn man ein paar Videos heruntergeladen hat oder den einen oder anderen P, das dürfen wir als Verbraucher tun, man darf nur nicht solch ein Herunterladen anbieten.

Wer hat eine Lösung für das Entschlüsseln von Matsnu.A.6 verschlüsselten Dateien?

Gruß, ich

Hallo und Herzlich Willkommen! :)

1.
Am besten alle verschlüsselten Daten extern sichern (auf leere USB-Stick oder ext. Festplatte). Dann mit Entschlüsselung beginnen. Also am Computer sollen die geänderten Daten um Nummer sicher zu gehen zuerst unberührt bleiben
Oft werden bereits verschlüsselte Daten durch die Benutzung des falschen Schlüssels erneut verschlüsselt – eine Wiederherstellung der Daten ist dann fast unmöglich. Wenn alles gut geht, kannst Du dann am PC weiter machen
Wenn alles gut geht, kannst Du dann am PC weiter machen

2.
Vorgehen beim Verschlüsselungs-Trojaner :-> http://www.trojaner-board.de/114783-...ubersicht.html
► SemperVideo hat ein Video zum Thema erstellt.
eventuell noch probieren mit "Wiederherstellen einer Datei mit der Schattenkopie:"
-> *klick*

Ansonsten beachte bitte folgendes:

► Ich kann Dir beim Entfernen der Malware helfen, aber mit dem Verschlüsselung aufheben wird schwieriger...kann sein, dass wir nur ein Teil vom großen & Ganzen entschlüsseln können, oder eben garnix davon!

3.
Datenentschlüsselung:
Wir sind intensiv mit der Lösung beschäftigt, wird das aber noch einige Zeit in Anspruch nehmen. Bisher leider kein Schema entdecken können, wie die Virenprogrammierern mit den Daten umgegangen sind (vlt einfach nur gestört und umbenannt?). Leider mußt du damit rechnen, diese Änderung vlt so gut wie nie rückgängig zu machen können.
Da sieht man wieder einmal wie wichtig ist, um die regelmäßige Sicherung ihrer wichtigen Dateien zu kümmern.
Wichtig!:
Nach den ersten vorliegenden Ergebnissen, ich kann dir nur wärmstens empfehlen, alle Trojaner-Funde, die sich in der Quarantine oder sonstwo befinden, NICHT endgültig vernichten bzw löschen lassen! Es liegt nämlich die Vermutung nahe, dass
mit den gefundenen und dann entfernten Schadcode, die Wiederherstellung von Originaldaten ist nicht mehr möglich! Also alle Funde auf jeden Fall in der Quarantäne lassen muss!

4.
► Bevor wir beginnen (wenn Du willst) dein System von Malware zu befreien, es wäre aber vielleicht nicht verkehrt, mit einem Backup-Programm die ganze Partitionen sichern bzw. ein Image erstellen (z.B mit Parted Magic) und separat aufheben! Oder gleich die Festplatte (aufheben in den aktuellen Zustand, zumindest solange, bis es eine Lösung gibt) und ein neue kaufen!

gruß
kira

Hallo und Danke Kira,

also die email die ich jetzt bekommen hatte die nach einer Erpresser Mail aussieht enthielt nicht Daten von meinem Rechner, sondern als Akte.zip die Datei Akte .pif. Diese Pif enthält den Trojaner TR/PSW.Zbot.600

Dieser spioniert wohl Passwörter aus. Also: Auch Erpressungsemails enthalten nix zum Erpressen sondern nur weitere Trojaner.
Hier hinten die mail.

Gruß von mir

Hi Xxxx,

in den beiliegenden Papieren die letzten Abzüge von Ihrer Bespitzelung.

Ihr Angebot?
Werner Schmid

Hallo,

ich brauche unbedingt die original email mit den 400 frei sms und den 365 Euro und dem daran anhängenden Link / Trojaner für die Strafanzeige.
Zusätzlich brauche ich einen Screenshot von der Computersperre. Die Version mit 100 Euro und der 2064 Bit Verschlüsselung. Kann die jemand mailen oder auf der Seite zur Verfügung stellen?

Danke im Vorraus. Gruß, Xxxx

ich kann nur die Schädlinge entfernen, die bleiben dann in der Quarantäne. Danach kannst mit deinen Rechner zur Polizei gehen.
Mehr kann ich nix machen.
aber Achtung!:
sobald etwas (Schadcode, verschlüsselte Daten etc) endgültig entfernt wird, die Daten wieder zu entschlüsseln nicht mehr möglich. Das mußt Du bei der Polizei auch mitteilen, weil ich denke dass sie den Rechner untersuchen wollen