Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Windows XP Verschlüsselungstrojaner? (https://www.trojaner-board.de/181172-windows-xp-verschluesselungstrojaner.html)

Susanne58 18.08.2016 18:05

Windows XP Verschlüsselungstrojaner?
 
Ich bin neu hier, bitte seht es mir nach, wenn ich nicht alles richtig mache.
Auf dem Desktop des befallenen Laptops sind die meisten - nicht alle - Icons mit dem Namen "AD4CE523-5444-48C3-****-12*chen.zepto" versehen worden. Dabei ist der Anfang bei allen gleich. Die Sternchen stehen für eine 4 bzw. 12stellige Zahl, die bei jeder Datei anders ist. Das Hintergrundbild ist jetzt schwarz. Darauf steht in roter Schrift:
"Wichtige Informationen !!!!
Alle Dateien wurden mit RSA-2048 und AES-122 Ziffern verschlüsselt.
Mehr Informationen über RSA können Sie hier finden:"
Dann folgen zwei links auf Wikipedia.
"Die Entschlüsselung Ihrer Datei ist nur mir einem privaten Schlüssel und einem Entschlüsselungsprogramm, welches sich auf unserem Server befindet, möglich.
Um Ihren privaten Schlüssel zu erhalten, folgen Sie einem der folgenden Links:
???q4lnfbs7pncr5.tor2web.org/...
???q4lnfbs7pncr5.onion.to/..."
Dabei stehen die ??? für Zeichen, die ich nicht lesen kann, weil sie außerhalb des Bildschirms sind und nicht ausgedruckt werden. Die ...stehen für die im weiteren Verlauf angegebene "Identifizierungs-ID". Und es geht weiter:
"Sollte keine der Adressen verfügbar sein, folgen Sie den folgenden Schritten:
1. Laden Sie einen Tor Browser herunter und installieren Sie diesen: h**ps://www.torproject.org/download/down???
2. Starten Sie den Browser nach der erfolgreichen Installation und warten auf die Initialisierung.
3. Tippen Sie die Adresszeile: zjfqlnfs7pncr5.onion/...
4. Folgen Sie den Anweisungen auf der Seite.
!!!! Ihre persönliche Identifizierungs-ID lautet: AD4CE52354448C3"
Wie schätzt Ihr das ein ? Ist das eine Bedrohung?

cosinus 18.08.2016 20:41

Zitat:

Wie schätzt Ihr das ein ? Ist das eine Bedrohung?
Wenn deine Daten zerstört werden soll das bitte was genau anderes denn sein? :wtf:

https://id-ransomware.malwarehunterteam.com/


Dass du mit einem Uralt-System wie Windows XP nocht online bist, ist übrigens grobfahrlässig.

Susanne58 19.08.2016 12:09

Ja, blöd gefragt. Ich werde mal den link nutzen und nachschauen, was mich da plagt. Kann ich denn mit dem infizierten Rechner ins Internet oder kann der Router dann befallen werden?
PS. Ist es weniger fahrlässig mit Windows 10 ständig "nach Hause zu telefonieren"?

cosinus 19.08.2016 12:29

Was verstehst du denn an XP ncht, das wurde doch vor zwei Jahren so breitgetreten in den Medien :wtf:

Lesestoff:
Windows XP

Auf deinem Rechner läuft noch Windows XP. Microsoft hat dieses Betriebssystem bereits 2001 veröffentlicht und stellt den Support endgültig ab April 2014 ein, d.h. ab Mai 2014 gibt es keine weiteren Updates mehr und danach gefundene Lücken werden nicht mehr durch Updates/Hotfixes geschlossen werden können.

Mit Windows XP nach April 2014 zu surfen wird damit ein großes Sicherheitsrisiko. Du solltest dir jetzt unbedingt Gedanken machen, möglichst schnell auf ein aktuelleres Betriebssystem umzusteigen.



Wenn dir das egal ist, ja dann bleib halt so mit dem System, aber dann brauchen wir auch nix zu analysieren weil du eh nie wieder einen sicherer Zustand mit Windows XP erreichen wirst

Das Schnüffeln von W10 ist ein ganz anderes Thema, hat nix damit zu tun, dass XP keine Sicherheitspatches mehr bekommt. Da auf lange Sichtwohl eh nur W10 überblaibt du das aber nicht willst, kannst du eigentlich nur noch zu Linux wechseln.

Susanne58 19.08.2016 14:27

Schön. Dann wird es also demnächst Linux. Aber das hilft mir im Moment nicht (zumal ich als Einfallstor das *** mailprogramm meines Arbeitgebers in Verdachts habe) Würdest du bitte meine Frage beantworten?

cosinus 19.08.2016 14:32

Das Einfallstor bist in genau diesem Fall eigentlich du selbst. Klingt blöd aber ist so; denn der Schädling nutzt die Panik und/oder das Interesse des Users voll aus, etwaige Meldungen/Warnungen vom OS werden meist in den Wind geschossen. Okay, solche Warnungen hast du als XP-User eh nicht gesehen :blabla:

Auch wenn die jetzt weißt welche Sicherheitslücke das genau war, es hilft dir ebenfalls nicht, d.h. du kannst es nicht rückgängig machen. Die Daten bleiben verschlüsselt.

Und an für sich ist nicht das TB sondern die IT-Abteilung deines Arbeitgebers für dieses Gerät zuständig.

Susanne58 19.08.2016 15:10

aha, Locky heißt das Schweinevirus!

und hier die log-Datei von malwarebytes:
Malwarebytes Anti-Malware
www.malwarebytes.org

Suchlaufdatum: 19.08.2016
Suchlaufzeit: 16:07:32
Protokolldatei: malewarebytes log 160819.txt
Administrator: Ja

Version: 2.2.1.1043
Malware-Datenbank: v2016.08.19.05
Rootkit-Datenbank: v2016.08.15.01
Lizenz: Testversion
Malware-Schutz: Deaktiviert
Schutz vor bösartigen Websites: Deaktiviert
Selbstschutz: Deaktiviert

Betriebssystem: Windows XP Service Pack 3
CPU: x86
Dateisystem: NTFS
Benutzer: susanne

Suchlauftyp: Bedrohungssuchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 322337
Abgelaufene Zeit: 22 Min., 40 Sek.

Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 0
(keine bösartigen Elemente erkannt)

Module: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 14
PUP.Optional.Incredibar, HKLM\SOFTWARE\CLASSES\APPID\{608D3067-77E8-463D-9084-908966806826}, , [a74a4903e9b1181ef2ede3b31de5e818],
PUP.Optional.Incredibar, HKU\S-1-5-21-3758677718-1958093459-3581562576-1006\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\SETTINGS\{F9639E4A-801B-4843-AEE3-03D9DA199E77}, , [cc25123a9cfe8caaa9f3464720e27789],
PUP.Optional.Incredibar, HKLM\SOFTWARE\CLASSES\Incredibar.dskBnd, , [cc25123a9cfe8caaa9f3464720e27789],
PUP.Optional.Incredibar, HKLM\SOFTWARE\CLASSES\Incredibar.dskBnd.1, , [cc25123a9cfe8caaa9f3464720e27789],
PUP.Optional.Incredibar, HKU\S-1-5-21-3758677718-1958093459-3581562576-1006\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{F9639E4A-801B-4843-AEE3-03D9DA199E77}, , [cc25123a9cfe8caaa9f3464720e27789],
PUP.Optional.Incredibar, HKU\S-1-5-21-3758677718-1958093459-3581562576-1006\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99}, , [579a7fcd910904320893eda05da560a0],
PUP.Optional.Incredibar, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\BROWSER HELPER OBJECTS\{6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99}, , [579a7fcd910904320893eda05da560a0],
PUP.Optional.Incredibar, HKLM\SOFTWARE\CLASSES\Incredibar.IncredibarHlpr, , [579a7fcd910904320893eda05da560a0],
PUP.Optional.Incredibar, HKLM\SOFTWARE\CLASSES\Incredibar.IncredibarHlpr.1, , [579a7fcd910904320893eda05da560a0],
PUP.Optional.Incredibar, HKU\S-1-5-21-3758677718-1958093459-3581562576-1007\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99}, , [579a7fcd910904320893eda05da560a0],
PUP.Optional.Incredibar, HKLM\SOFTWARE\Incredibar.com, , [01f03e0e7723e05632af2b7b0af9ae52],
PUP.Optional.Incredibar, HKLM\SOFTWARE\CLASSES\esrv.IncredibarESrvc, , [0be60448009ac2749149dacca95a0000],
PUP.Optional.Incredibar, HKLM\SOFTWARE\CLASSES\esrv.IncredibarESrvc.1, , [539e1636dcbeae8886541294ea19e020],
PUP.Optional.Incredibar, HKLM\SOFTWARE\GOOGLE\CHROME\EXTENSIONS\dlnembnfbcpjnepmfjmngjenhhajpdfd, , [44addf6d267476c08758fea859aaff01],

Registrierungswerte: 5
PUP.Optional.Incredibar, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\TOOLBAR|{F9639E4A-801B-4843-AEE3-03D9DA199E77}, Incredibar Toolbar, , [cc25123a9cfe8caaa9f3464720e27789]
PUP.Optional.Incredibar, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\TOOLBAR\{F9639E4A-801B-4843-AEE3-03D9DA199E77}, , [18d97dcfd3c7da5ca4f8afdea75b51af],
PUP.Optional.WebAssistant, HKLM\SOFTWARE\GOOGLE\CHROME\EXTENSIONS\dlnembnfbcpjnepmfjmngjenhhajpdfd|path, C:\Programme\Web Assistant\source.crx, , [7081df6d7f1bbc7ae48f11c416ecaa56]
PUP.Optional.WebAssistant, HKLM\SOFTWARE\MOZILLA\FIREFOX\EXTENSIONS|{336D0C35-8A85-403a-B9D2-65C292C39087}, C:\Programme\Web Assistant\Firefox, , [8869c9833268f046f38adfdc7d86d729]
PUP.Optional.SweetPacks, HKLM\SOFTWARE\MOZILLA\FIREFOX\EXTENSIONS|{8E9E3331-D360-4f87-8803-52DE43566502}, C:\Programme\Web Assistant\Firefox, , [e60b2b21dcbe10261a8f6c4b5aa93dc3]

Registrierungsdaten: 3
PUM.Optional.DisabledSecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|AntiVirusDisableNotify, 1, Gut: (0), Schlecht: (1),,[d0211b313961cd698b451a5ed1332ad6]
PUM.Optional.DisableStartMenuLogOff, HKU\S-1-5-21-3758677718-1958093459-3581562576-1006\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED|StartMenuLogoff, 1, Gut: (0), Schlecht: (1),,[0de4b9939307b77f00e8caae9e669967]
PUM.Optional.DisableStartMenuLogOff, HKU\S-1-5-21-3758677718-1958093459-3581562576-1007\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED|StartMenuLogoff, 1, Gut: (0), Schlecht: (1),,[9859a4a8bedcf640b8307800f50f4cb4]

Ordner: 0
(keine bösartigen Elemente erkannt)

Dateien: 1
PUP.Optional.SweetPacks, C:\Programme\Web Assistant(2)\ExtensionUpdaterService(2).exe, , [4da466e635659e98fde267c6fc052fd1],

Physische Sektoren: 0
(keine bösartigen Elemente erkannt)


(end)

cosinus 20.08.2016 12:21

Malwarebytes bringt dich da nicht weiter. Es kann keine Daten entschlüsseln sondern nur malware aufspüren und entfernen.

Selbst wenn dein System bereinigt ist hast du immer noch das Problem, dass Windows XP nicht mehr abgesichert werden kann, denn es bekommt seit zwei Jahren keine Updates mehr. Das System ist also für die Tonne. Es sei denn man betreibt es nur offline, aber das willst du ja nicht.

Fazit: behalte die verschlüsselten Dateien und die Dateien mit den Entschlüsselungshinweisen. Dann installierst du diesen Rechner komplett neu mit einem aktuellen OS. Welches für dich in Frage kommt hängt von deiner Hardware ab, aber du immer noch an XP hängst dürfte dieser Rechner wohl kein aktuelles Windows vertragen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:04 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131