Nennen wir das einfach mal "einen netten Zug des Coders". Und verlassen wuerde ich mich da drauf schon gar nicht. Und wenn Du glaubst, sicher zu sein, dann fang mal an deinen Datenverkehr zu loggen.
Mit IPv6 kommt noch richtig Spass auf uns zu.
Mir wurde als allererstes beigebracht, das einzige Tool, dass umfassende Sicherheit fuer deinen Rechner gewaehrleistet, ist der Seitenschneider, konsequent angewendet.

Das DAX30 Unternehmen ohne Admin und Backups und Sicherungsschichten moechte ich sehen. Abgesehen davon glaube ich mich zu erinnern, dass Unternehmen ab einer gewissen Groesse rechtlich dazu verpflichtet sind, die IT mit geeigneten Massnahmen zu sichern.

Und wenn die Backups ebenfalls schon betroffen sind, weil der Trojaner sich nicht per Bildschirmmeldung zu erkennen gibt?
Statt dessen steht im verschlüsselten Teil eine URL; dort kann das Opfer den Erpressungstext lesen.
Die Expressung sieht so aus: zahle 10 Mio und alle Dateien werden binnen einer Stunde restauriert werden oder zahle nicht und du hast einen mehrtägigen Ausfall (was viele Unternehmen an den Rand des Ruins bringt)

Im Normalfall sollten normalen Mitarbeitern in einem großen Unternehmen, die entsprechenden Rechte fehlen, bzw. die wichtigen Firmendaten in einem DMS oder änlich abgelegt sein.

Ich weis nur eins.
Sollten die den jemals ausfindig machen dann wird's teuer für den Burschen.
Und das mit Recht!

gruss

Hab mir grad die neueste Version in einer VM mit Procmon angeschaut, interessant... nun connected sie nach China in einer Uni in Beijing:
http://www.robtex.com/ip/219.218.160.80.html#ip
Er nutzt nun auch laut Procmon sehr intensiv die Windows CryptoAPI...

Wer die Version haben will, kann mich gerne anschreiben. Avira hat sie bekommen, das Trojaner Board auch schon.

Edit: Er scheint nun auch die Netzwerkumgebung zu scannen. Also wird er jetzt noch gefährlicher...

Hallo zusammen,

bin aus aktuellem Anlass auf das Board aufmerksam geworden...
Habe großen Respekt vor der Hingabe und dem persönlichen Einsatz, mit der hier an dem Thema gearbeitet wird. Danke!

Ich bin zugegeben affiner Laie, also wohl der für jedes System gefährliche Halbwissende (aber immerhin kein Politiker.)
In einem Haufen der quasi getöteten Dateien habe ich rumgestochert, ob noch was brauchbares zu finden ist.
Immerhin konnte ich auf einer Partition die Namen und Formate lesbar machen.
Die Inhalte sind codiert und werden entsprechend dargestellt.

Dabei ist mir aufgefallen:
In den Eigenschaften der verschlüsselten Dateien taucht ein (selbstredend unauthorisierter) Besitzer auf, der für die Verschlüsselung Dateien genutzt wurde. (Anhang hier ungenau: Der war Besitzer mit ausschl. 'speziellen Rechten')
Eine Änderung der Datei wurde nicht erkannt, aber das Erstellungsdatum auf Anfang des 17. Jahrhunderts geändert, die Verschlüsselung erfolgte real etwas später, am 12.06.12 um ~10:08h MEZ, ich war dabei
Andere betroffene Dateien haben den gleichlautenden 'Besetzer'.

Wie wird dessen eigentümlicher Name generiert?
Kann hier vielleicht doch noch der Schlüssel zum Schlüssel liegen?

Ich kann nicht beurteilen, ob ich inspiriere oder nur Zeit stehle. Bitte um Nachsicht.
Danke!

Naja, die Backups funktionieren dort ein wenig anders als beim ambitionierten HobbyAdmin. Aber immerhin hast Du mich dazu angeregt, nochmal meine Berechtigungen fuer die Backups zu ueberpruefen.
Und fuer mehrtaegigen Ausfall in einem DAX30 Unternehmen zu sorgen faellt schon in die Kategorie Terrorismus. Wenn Dir das gelingt, lass Dich nicht von den Maennern die an Seilen vor deinem Fenster rumbaumeln beim Fruehstueck stoeren.

Der Benutzer, den Du dort siehst, ist mit hoechster Wahscheinlichkeit nicht von Deinem OS generiert sondern von einer Parallelinstallation von WinXP, Vista, Win7 oder Win8. Eventuell die Win8 Beta ausprobiert?
Der Name den Du siehst ist lediglich eine Lesbarmachung der auf deinem System unbekannten Nutzerkennung und keinerlei Chiffre oder was auch immer.

Affiner Laie mit Hang zur Datenverschluesselung, immerhin schon ein Level weiter als mancher Admin .

Das ist kein Name sondern ein sogenannter Security Identifier (kurz SID), den jedes Windows-Nutzerkonto hat. Entspricht diese SID einem auf dem gerade benutzten Windows existierenden Benutzer, so wird er - für die Anzeige - in einen Namen übersetzt. Existiert kein passendes Konto, passiert genau das, was du siehst: der SID selbst wird angezeigt.

Ein Grund für einen solchen Besitzer wurde ja bereits genannt, ein anderer ist, dass ein Benutzerkonto auf demselben Windows irgendwann einmal existiert hat (mit dem die Datei angelegt wurde) und dieses später gelöscht wurde. Der Besitzer bleibt bestehen (steht im NTFS-Dateisystem ebenfalls als SID), der SID kann nicht mehr zugeordnet werden und *zack*, siehst du genau das.

Also nichts "Magisches" oder für das Problem irgendwie Nützliches - leider.

MfG Dalai

Schweizer Server?

OK, in Bezug auf Banken sind die zwar etwas komisch, aber kann man es nicht dennoch mal mit den Gesetzen da drüben versuchen?
Richter => Verfügung => Polizei => Daten

Selbst in China gibt es eine Polizei und dann kann man sich auch noch direkt an diese chinesische Uni wenden usw.