AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

ja die server von denen sind vernünftig abgesichert so wies aussieht.
und zwar alle bisher verwendeten cc's

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

:shock:
Eine Gruppe von mehreren Personen organisiert sich, um in fremdes System einzudringen. ... Das riecht nach ... *schnupper* ... organisierter Computer-Kriminalität.

Leute, das geht nicht. Ich komme als Betreiber dieses Forums in Teufels Küche, wenn Ihr hier einen Plan ausheckt, um einen dieser Server anzugreifen. Aus menschlicher Sicht kann ich Euch verstehen - aber die Planung für einen "Gegenangriff" kann ich hier nicht tolerieren. Ich bitte dafür um Verständnis.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Tut mir echt leid, falls es so aussieht, als ob ne Planung im Gange ist. Ich spreche nur meine Gedanken aus (bzw fasse sie in Worte).
Ich selber nehme eig. am ganzen Thread ja auch nur passiv Teil - ich liefere nur Ideen die ich habe.

Nochmals, sry =/

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Als Moderator dieses Forums würde ich dich bitte, solche Gedanken hier auch nicht öffentlich auszusprechen. Setzt dazu ein eigenes Forum auf oder macht das per Mail. Aber wie schon gesagt bitte nicht hier im Forum!

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Damit es nicht falsch rüber kommt. Das war nicht als Zurechtweisung gedacht, sondern als Bitte bzw. Hinweis. Man muss da leider etwas vorsichtig sein und lieber etwas zu vorsichtig, weil Daniel am Ende den Kopf für eure Beiträge hinhalten muss. Ist doof, ist aber leider so.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Ich verstehe es ja, Kp.
Deshalb entschuldige ich mich ja..

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Wegen der Hacking-Diskussion:

Ich denke eh nicht wirklich, dass die relevanten Daten auf den Servern liegen, das wäre zu einfach :-) Die a.php ist sicher nur ein Proxy und leitet die Anfragen an einen Server weiter, den wir noch gar nicht kennen, so würde ich das jedenfalls machen, wenn ich sicherstellen will, dass meine Passwörter auch dann noch verfügbar sind, wenn die "öffenlichen" Server hops genommen werden.

@Marcu: Danke für die super Erklärungen & das Bild für die bessere Übersicht!

@markusg: Ja, eine Version 2.X hätte ich gern.

Kann man die IP-Adressen nicht wirkungsvoll blockieren?
 

Hallo Zusammen,

habe mit dem Problem zum Glück akut nichts zu tuen, habe aber trotzdem mal ein paar Fragen?

Wäre es mögliche alle IP-Adressen, der vom Trojaner genutzen Server, zu veröffentlichen?

Hintergrund: Es wäre damit ja möglich die IP-Adressen per Firewall zu blockieren.
Wie verhält sich in diesem Fall der Trojaner?
Richtet er trotzdem Schaden an oder schlägt die Schadroutine nur zu, wenn er eine Verbindung hat herstellen können?

Greift er über IP-Adressen auf die Server zu oder über die Namen der Rechner, beim Zugriff über den Namen wäre es ja dann auch möglich, die Namensauflösung über die hosts-Datei auf eine andere IP (z. B. 0.0.0.0) umzuleiten, mit der Folge das der Trojaner sein Ziel nicht erreichen kann.

Entsprechende Regeln sollten aber sicherlich in jeder Firmenfirewall hinterlegt werden können, für den Privatanwernder wird es dann etwas schwieriger, da er sich ja selbst mit einer Firwall befassen muss.

Wäre es möglich, dass die Netzbetreiber die IP-Adressen oder die Namensauflösung blockieren?
Mir ist dabei durchaus klar, dass die gelungene Blockierung von Namen und/oder IP-Adressen auch missbraucht werden kann, um damit eine Zensur durchzuführen ala Name und IP von z. B. Google blockieren und wir haben eine "wunderbare" Zensur.

Wenn man in einem Netzwerk mehrere Rechner mit identischer IP-Adresse hat, bekommt man ja durchaus Probleme in Bezug auf die Erreichbarkeit der Rechner. Was passiert, wenn man ins Netz nun weitere Rechner stellt, die permanent verfügbar sind und "zufällig" die gleichen IP-Adressen und/oder Namen haben, wie die vom Trojaner genutzen Server. "Stört" man damit ggfls. nur den Trojaner oder hätte das weitere negative Auswirkungen auf den Datenverkehr im gesamten Netz (also letztlich weltweit)?

Klar ist, dass dies alles den Geschädigten nicht hilft, aber eventuell ließe sich bei Realisierbarkeit des Einen oder Anderen ja der weitere, leider zu erwartende, Schaden verringern.

Alle Texte von Mails, die ich bisher zu dem Trojaner habe lesen können, waren deutschsprachig, ist der Trojaner auf den deutschen Sprachraum beschränkt oder ist der multilingual?
Oder wer verschickt nach welchen Kriterien die Mails, die den Trojaner enthalten? Da scheint sich ja auch jemand zumindest ein paar Gedanken gemacht zu haben, wenn auch mir bisher keine der Mails inhaltlich plausibel erschien. Bei allen Mails waren Formulierungen zu finden (oder Rechnungsoptionen bzw. Preise), die klar auf ein Fake hindeuten, so dass für meine Begriffe bei keiner dieser Mails eine Veranlassung bestand, den Anhang zu öffnen. Aber hier muss man wohl die Leute einfach mal besser und ausführlicher Informieren, das wäre sicherlich was für Quarks & Co. und wie sie alle heißen...

Stephan

PS.: Ich erwarte jetzt keine vollumfängliche Antwort, aber vielleicht lassen sich ja doch Möglichkeiten zur Schadensbegrenzung finden.

AW: Kann man die IP-Adressen nicht wirkungsvoll blockieren?
 

Die nächste Version des Virus würde dann die Fähigkeit bekommen den Eintrag in der Firewall zu löschen oder die Firewall generell auszuschalten.
Was einen gewissen Effekt bringen würden, wäre ein DOS-Angriff auf die Command&Control-Server.
Man müsste die Server mit Fake-Daten regelrecht zuschiesen.
Problem ist nur, dass dann der Virus so geändert wird, dass er immer einen CC-Server findet.
Die Rechnernamen oder IP-Adressen sind dann nicht mehr hartcodiert, sondern werden von einem ausgeklügelten Algorithmus erzeugt, wie man ihn schon von Botnetzen kennt.
Wenn ein CC-Server gekillt wird stehen schon 5 andere bereit den Job zu übernehmen. :evil:

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Schon richtig, wenn der Ransom keinen Serverkontakt bekommt, verschluesselt er nicht. Das war auch mein anfaengliches Problem.
Der Trojaner sass auf dem Rechner und tat nichts. Bis ich mir den Netzwerkverkehr angeschaut habe und festgestellt hatte das der AV vom uebergeordneten System den Netzwerkverkehr stoerte.

Ich habe den Verdacht, dass da noch ein paar mehr Leute betroffen sind, wo der AV im Moment noch die Aktivierung verhindert.

@Markusg: Jupp, wuerde mir die v2 auch gerne mal anschauen. Seit wann ist die aktiv?

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Die neueste Version hab ich mit in einer VM mit Filemon angeschaut trägt sich jetzt schon in der WinDoof Firewall ein. hosts wäre eine Lösung, muss aber ständig aktuell gehalten werden - immer noch ein Restrisiko einen Virus zu erwischen dessen C&C nicht in der hosts steht.

Eine sicherere Variante ist den Mailer und den Browser in z.b. Sandboxie laufen zu lassen. Man muss das aber so anpassen das der Mailer in seiner ursprünglichen Datenbank schreiben lann.

AW: Kann man die IP-Adressen nicht wirkungsvoll blockieren?
 

Hallo,
Es müsste doch eigentlich egal sein, wie der Trojaner IP und Rechnername verschlüsselt, über die Leitung muss doch die IP zum Zielrechner gehen, sonst kommt der Verkehr ja nicht an. Will sagen, egal wie verschlüsselt wird, mit einer Überwachung des Netzverkehres müssten sie doch ermittelbar sein?

Wie kann ein Trojaner denn eigene Daten in die Windowsfirewall eintragen, verändern, löschen, wie macht er das bei Zonealarm, bei Comodo oder gar einer Hardwarefirewall, die zwischen Firmennetz und "Außenwelt" steht? Klar, für den Heimanwender ist eine Hardwarefirewall sicherlich nicht die Lösung :-(

Mir ist durchaus klar, dass es keine Lösung gibt, um alle aktuellen und alle zukünftigen Varianten dieses Virus "stillzulegen". Es handelt sich hier um ein klassisches Wettrüsten, der Angreifer (sprich Trojaner) ist immer ein Stück voraus, man muss immer auf Änderungen reagieren :-(
Was kann ich als "normalsterblicher Heimanwender" tun, um es den Virus- und Trojanerentwicklern möglichst schwer zu machen, es müsste für die so schwer werden, dass sich Aufwand und Nutzen nicht mehr rechnen.
Ok: "Spaßkriminelle", die das nur als Herausforderung ansehen,
werden diesen Wettkampf vermutlich begeistert aufnehmen.

Stephan

PS: Der beste Viren- und Trojanerschutz ist wohl immer noch: Mails von unbekannten Absendern ungelesen löschen.

AW: Kann man die IP-Adressen nicht wirkungsvoll blockieren?
 

Wenn man dies konsequent tut, dann hat man schon ein weiteres Stückchen Sicherheit erreicht, doch gestaltet es das Geschäftsleben eine Idee schwieriger, da gerade die Kontaktaufnahme mit neuen Personen ja unter Umständen absolut gewollt ist. ;-)

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Das sieht man an Flame, der sich mit einem Trick al Windowsupdate ausgab und so auch unter Nicht-Adminrechten installiert wurde.

AW: Kann man die IP-Adressen nicht wirkungsvoll blockieren?
 

Hallo,
klar, dass Geschäftsleben kenn' ich nun schon seit ein paar Jahrzehnten, aber trotzdem ist es mir immer gelungen unbekannte Personen und deren zu löschende Mails und unbekannte neue Geschäftspartner zu unterscheiden. Betreffzeilen von Spam, Trojanern... sind irgendwie nie so, dass sie auf einen sinnvollen Inhalt schließen lassen, spätestens bei dem textlichen Inhalt der zu dem hier genannten Trojaner gehörenden Mails sollte aber die Alarmglocke klingeln. Man sollte wissen, wo man wann was gekauft hat und ob der Geschäftspartner Rechnungen, Mahnungen... per Mail verschickt.
Okay, vielleicht sind meine Sinne in der Hinsicht etwas geschärft, da ich für mehrere Jahre die vom Spamfilter auf dem Server festgehaltenen Mails nach gut und böse sortieren musste und für deren Weiterleitung bzw. sichere Entfernung zuständig war.

Stephan

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Hallo... :hi:

ich hätte noch 2 unangetastete Exemplare der letzten Tage. Bei Bedarf bitte melden und kurz erklären ob und wie ich den E-Mail Anhang gefahrlos speichern und anhängen kann.

:thumb: Respekt für Eure Arbeit.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Hi,

bei mir kommen auch fast täglich Mails mit Rechnungen / Mahnungen / Buchungsbestätigungen etc. mit ZIP-Anhängen.
Aufgrund der zeitlichen Nähe vermute ich mal eben jenen Virus als Inhalt.
Bislang sind die Mails direkt "geshreddert" worden - aber falls die hier jemand gebrauchen kann - einfach Bescheid geben, dann hebe ich sie auf - als Mac-User sollte er mir ja nix anhaben können.

LG,
Frederic

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Naja ich persoenlich lese Mails normalerweise nur als Text und versende hoeflicherweise meine Mails auch als Text. Hilft zwar in diesem Fall nicht, da ja das pif/scr/com/? file noch von Hand gestartet werden muss.
Was ja offensichtlich Leute tun. Da schlaegt auch Microsofts Strategie, Dateiendungen zu "verschlucken" unangenehm zu Buche. Otto Normaluser weiss gar nicht auf was genau er sich da einlaesst und klickt freudig oder aergerlich erregt. Oder einfach nur aus Neugier.

Aus meiner Sicht das beste, was man tun kann ist bei Erscheinen des Fensters mit der Geldforderung kurzerhand den Stecker aus der Wand ziehen. Oder besser noch schon bei Erscheinen der Meldung mit dem falschen Dateiformat. In letzterem Falle waere sogar kaum oder kein Datenverlust, wenn das halbwegs zeitnah passiert.

Im anderen Fall die Platte wie sie ist jemandem in die Hand geben, der sich damit auskennt. Am besten gleich noch eine neue Platte installieren und dem Datenretter (hoffentlich) einfach die benoetigte Zeit lassen.

In diesem Fall fuehren unbedarfte Selbstversuche in aller Regel nur zu noch mehr Datenverlust.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Achso, was die rechtliche Seit angeht, selbstverstaendlich ist das keine Verabredung zu einer kriminellen Handlung. Sind doch unsere Spielserver. Oder hat sich hier bisher jemand gemeldet und behauptet es waeren seine Server?
Sollte dem so sein, kannst Du das getrost als Luege abtun.
Es sei denn er kann es beweisen indem er Dir zeigt, dass er vollen Zugriff hat, indem er eine Kopie der Datenbank aushaendigt.

Allerdings bin ich mir nicht sicher ob die Geschichte mit den Massenhackversuchen auf Kleinstserver und Farmmaschinen zusammenhaengt. Vor ein paar Wochen kam so seltsames Aechzen aus meinem IT-Raum. Als ich nachsah, stellte ich fest, dass das mein Firewalllog war. Offensichtlich hatten jemand angenommen, dass bei mir ein DNS Server laeuft und den nichtvorhandenen DNS-Server versucht zu missbrauchen.
Das waren teilweise bis ueber 1000 Eintraege pro Stunde.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Bei Erscheinen der Forderung haben sich Deine Daten schon verabschiedet.
Und mal ehrlich: Würdest Du bei einer Windows-Fehlermeldung den Stecker ziehen? Hast Du noch was anderes vor? :lol:

[OT]
Was immer wieder angesprochen wird und ich mich immer wieder wundere. Da kommt 'ne Mail mit einer unglaublichen Forderung rein. Was macht der User? Er/Sie hat nix besseres zu tun. *GEHIRN_AUS*..klick..gefangen :?: :roll:
[/OT]

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Eigentlich heisst das doch, dass gegen einen gut gemachten Verschlüsselungs-Trojaner kein Kraut gewachsen ist.
* die Verschlüsselung ist nicht zu knacken (falls "richtig" programmiert wurde)
* die C&C Server sind kaum totzukriegen
* da der Trojaner seine Existenz nicht verborgen halten muss, könnte er auch ein Peer-2-Peer Netzwerk bilden und so die Verbrecher noch besser schützen
* er braucht keinen Code um sich selbst weiterzuverbreiten, das erledigt der User hinter dem Bildschirm
(eine Verbreitung im lokalen Netzwerk wäre aber dennoch "sinnvoll" aus Sicht des Trojaners)
* der Erpressungspotential ist nahezu unbegrenzt - man stelle sich vor der Trojaner dringt in eine Firma aus dem DAX30 ein, verbreitet sich auf eine Vielzahl von Rechnern und verschlüsselt alle Word Dokumente im lokalen Netzwerk und den lokalen Platten
* die Hintermänner sind, ausser durch einen Zufall, kaum zu fassen
* Virenscanner nützen wenig, weil immer neue Varianten in Umlauf gesetzt werden
Wenn pro Tag 100000 Mails verschickt werden und 5% der User den Anhang öffnen und davon 8% bezahlen, dann sind das 400 Zahlungseingänge pro Tag auf den Konten der Ganoven

Fazit:
Antivirenprogramme und die normalen 08/15-User haben den Krieg schon verloren

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Da hilft nur eins: Computerfahrschule, "Wie gehe ich sicher mit meinem digitalen Rechenschieber um?"

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Du kannst den Leuten 1000 mal sagen, dass sie nicht auf die heiße Herdplatte fassen sollen - sie tun es trotzdem immer wieder.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Tja schon, aber vor 2 Wochen wäre ich fast gar selbst ein Opfer geworden.
Eine gut gemachte EMail droht mit Inkasso und ~600 Euro Zahlungsaufforderung wegen einer Webseite, auf der ich mich tatsächlich angemeldet habe.
Username und Email passten zusammen.
Wutentbrannt habe ich die Zip-Datei geöffnet und darin war eine "NameDerWebseite.com" Datei.
In letzter Sekunde war mir klar, das ist eine ausführbare Datei; ein Virus.

Und natürlich habe mit Admin-Rechten meine EMails gelesen :wall:
Letztes Backup ist Monate alt.
Trotz jahrelange Computererfahrung hätt's mich fast erwischt. (Aber das wird mir eine Lehre sein)

Stell dir mal eine Sekretärin bei der Deutschen Bank in Frankfurt vor.
Sie bekommt ein Mahnschreiben (angeblich von der Commerzbank) mit einer Zahlungsaufforderung über 965000 Euro. Und im Anhang eine Datei mit dem Namen "Mahnung.Coba.com".
KLICK

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Tut mir leid, wenn ich mich da irgendwie unverstaendlich ausgedrueckt habe aber genau das habe ich gesagt.

Selbstverstaendlich wuerde ich mein System sofort lahmlegen wenn ich eine Meldung bekomme, die offensichtlich nicht von einem meiner installierten Programme stammt. Allerdings bin ich paranoid genug um unbekannte Anhaenge im Hexeditor/Dissassembler vorher anzuschauen. Beziehungsweise mir den Mailheader vorher anschaue bei unbekannten Mails.

"GEHIRN AUS" ist etwas im Ton vergriffen. Oder erwartest Du das naechste Mal beim Baecker statt Broetchen eine Tuete Mehl mit dem Hinweis, dass Du schliesslich intelligent genug bist um zu googlen wie man es selber baeckt?

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Wenn ich so etwas schreiben würde ... Abmahnung! von wem auch immer

gruss

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Ach Gottchen - wie oft denn noch?
Es gibt - und das ist leider eine Tatsache - genug Anwender, die nicht hinreichend für die Gefahren sensibilisert sind. Genau das nutzen die Trojaner ja in der einen oder anderen Form aus - mit großen Erfolg.

Im Idealfall werden diese Anwender von einer guten (Firemen-)Firewall geschützt, in vielen Fällen passiert das leider nicht. Hier in einem Forum für Software-Entwickler treiben sich natürlich viele technisch versierte Personen herum, die mit Hex-Editoren oder Email-Headern etwas anfangen können. Aber das ist doch nur ein Bruchteil aller Anwender - und wenn ich ehrlich sein darf: Alle Anderen haben das gute Recht, sich nicht mit den Details zu befassen zu wollen. Es interessiert schlichtweg nicht jeden - und das muss es auch nicht. Da mögen einige von Euch noch so sehr mit dem erhobenen Zeigefinger auf und ab hopsen und rufen "Selbst Schuld!" - aber wem ist mit diesem geradezu schon überheblichen Verhalten geholfen?

Man kann seinen Familien-, Freundes- und Bekanntenkreis und ggf. auch Kunden nur gebetsmühlenartig warnen, umsichtig zu sein - aber früher oder später wird wieder einer auf die heiße Herdplatte langen. Nichts anders, wie wenn man sich selbst dabei ertappt, doch noch schnell bei Rot über die Ampel zu sein, weil der Bus gerade kommt oder irgendwas anderes war. Man weiß es eigentlich besser und tut in einem "schwachen" Moment doch nicht das Richtige. Das ist nur menschlich.


...und wenn man es mit dem Warnen übertreibt, ist man schnell der paranoide IT-Nerd. :stupid:

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Vielleicht habe ich es etwas krass ausgedrückt. :oops:

Aber was soll man dazu sagen, wenn der Kunde, der beim PC alles verloren hat, beim NB aber Glück hatte, und nun anruft, er habe wieder diese Mails bekommen, und nachfragt, ob er sie gleich löschen soll. :stupid:

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Ich mag Dir ja gar nicht wirklich widersprechen. Manchmal schlägt man tatsächlich und völlig zu Recht die Hände über den Kopp zusammen - und ja, es gibt bestimmt auch einzelne Individuen, die einfach nur struntz-doof sind. Mir ging es nur darum, nicht pauschal alle Anwender an den Pranger zu stellen, die in eine derartige Situation gekommen sind.

AWW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

hi
man sollte auch nicht unfair werden, die mails sind gut gemacht mit namen etc,
da kann man schon drauf rein fallen denke ich
aber das hatte ich ja schon mal gesagt und muss man ja nicht immer aufs neue aufwärmen.
die version 2.x gibts ungefähr seit letzem donnerstag /freitag.
pass: infected
http://www.file-upload.net/download-...lagen.rar.html
wer keine malware testen will, läd sich das archiv nicht runter, entpackt es nicht, bzw gibt schon gar nicht das passwort ein, und er entpackt das zweite archiv im archiv auch nicht :-)

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Nennen wir das einfach mal "einen netten Zug des Coders". Und verlassen wuerde ich mich da drauf schon gar nicht. Und wenn Du glaubst, sicher zu sein, dann fang mal an deinen Datenverkehr zu loggen.
Mit IPv6 kommt noch richtig Spass auf uns zu.
Mir wurde als allererstes beigebracht, das einzige Tool, dass umfassende Sicherheit fuer deinen Rechner gewaehrleistet, ist der Seitenschneider, konsequent angewendet.

Das DAX30 Unternehmen ohne Admin und Backups und Sicherungsschichten moechte ich sehen. Abgesehen davon glaube ich mich zu erinnern, dass Unternehmen ab einer gewissen Groesse rechtlich dazu verpflichtet sind, die IT mit geeigneten Massnahmen zu sichern.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Und wenn die Backups ebenfalls schon betroffen sind, weil der Trojaner sich nicht per Bildschirmmeldung zu erkennen gibt?
Statt dessen steht im verschlüsselten Teil eine URL; dort kann das Opfer den Erpressungstext lesen.
Die Expressung sieht so aus: zahle 10 Mio und alle Dateien werden binnen einer Stunde restauriert werden oder zahle nicht und du hast einen mehrtägigen Ausfall (was viele Unternehmen an den Rand des Ruins bringt)

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Im Normalfall sollten normalen Mitarbeitern in einem großen Unternehmen, die entsprechenden Rechte fehlen, bzw. die wichtigen Firmendaten in einem DMS oder änlich abgelegt sein.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Ich weis nur eins.
Sollten die den jemals ausfindig machen dann wird's teuer für den Burschen.
Und das mit Recht!

gruss

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Hab mir grad die neueste Version in einer VM mit Procmon angeschaut, interessant... nun connected sie nach China in einer Uni in Beijing:
http://www.robtex.com/ip/219.218.160.80.html#ip
Er nutzt nun auch laut Procmon sehr intensiv die Windows CryptoAPI...

Wer die Version haben will, kann mich gerne anschreiben. Avira hat sie bekommen, das Trojaner Board auch schon.

Edit: Er scheint nun auch die Netzwerkumgebung zu scannen. Also wird er jetzt noch gefährlicher...

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Hallo zusammen,

bin aus aktuellem Anlass auf das Board aufmerksam geworden...
Habe großen Respekt vor der Hingabe und dem persönlichen Einsatz, mit der hier an dem Thema gearbeitet wird. :cheer: Danke!

Ich bin zugegeben affiner Laie, also wohl der für jedes System gefährliche Halbwissende :firejump: (aber immerhin kein Politiker.)
In einem Haufen der quasi getöteten Dateien habe ich rumgestochert, ob noch was brauchbares zu finden ist.
Immerhin konnte ich auf einer Partition die Namen und Formate lesbar machen.
Die Inhalte sind codiert und werden entsprechend dargestellt.

Dabei ist mir aufgefallen:
In den Eigenschaften der verschlüsselten Dateien taucht ein (selbstredend unauthorisierter) Besitzer auf, der für die Verschlüsselung Dateien genutzt wurde. (Anhang hier ungenau: Der war Besitzer mit ausschl. 'speziellen Rechten')
Eine Änderung der Datei wurde nicht erkannt, aber das Erstellungsdatum auf Anfang des 17. Jahrhunderts geändert, die Verschlüsselung erfolgte real etwas später, am 12.06.12 um ~10:08h MEZ, ich war dabei :pale:
Andere betroffene Dateien haben den gleichlautenden 'Besetzer'.

Wie wird dessen eigentümlicher Name generiert?
Kann hier vielleicht doch noch der Schlüssel zum Schlüssel liegen?

Ich kann nicht beurteilen, ob ich inspiriere oder nur Zeit stehle. Bitte um Nachsicht.
Danke! :thumb:

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Naja, die Backups funktionieren dort ein wenig anders als beim ambitionierten HobbyAdmin. Aber immerhin hast Du mich dazu angeregt, nochmal meine Berechtigungen fuer die Backups zu ueberpruefen.
Und fuer mehrtaegigen Ausfall in einem DAX30 Unternehmen zu sorgen faellt schon in die Kategorie Terrorismus. Wenn Dir das gelingt, lass Dich nicht von den Maennern die an Seilen vor deinem Fenster rumbaumeln beim Fruehstueck stoeren.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Der Benutzer, den Du dort siehst, ist mit hoechster Wahscheinlichkeit nicht von Deinem OS generiert sondern von einer Parallelinstallation von WinXP, Vista, Win7 oder Win8. Eventuell die Win8 Beta ausprobiert?
Der Name den Du siehst ist lediglich eine Lesbarmachung der auf deinem System unbekannten Nutzerkennung und keinerlei Chiffre oder was auch immer.

Affiner Laie mit Hang zur Datenverschluesselung, immerhin schon ein Level weiter als mancher Admin ;).

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Das ist kein Name sondern ein sogenannter Security Identifier (kurz SID), den jedes Windows-Nutzerkonto hat. Entspricht diese SID einem auf dem gerade benutzten Windows existierenden Benutzer, so wird er - für die Anzeige - in einen Namen übersetzt. Existiert kein passendes Konto, passiert genau das, was du siehst: der SID selbst wird angezeigt.

Ein Grund für einen solchen Besitzer wurde ja bereits genannt, ein anderer ist, dass ein Benutzerkonto auf demselben Windows irgendwann einmal existiert hat (mit dem die Datei angelegt wurde) und dieses später gelöscht wurde. Der Besitzer bleibt bestehen (steht im NTFS-Dateisystem ebenfalls als SID), der SID kann nicht mehr zugeordnet werden und *zack*, siehst du genau das.

Also nichts "Magisches" oder für das Problem irgendwie Nützliches - leider.

MfG Dalai

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Schweizer Server?

OK, in Bezug auf Banken sind die zwar etwas komisch, aber kann man es nicht dennoch mal mit den Gesetzen da drüben versuchen?
Richter => Verfügung => Polizei => Daten

Selbst in China gibt es eine Polizei und dann kann man sich auch noch direkt an diese chinesische Uni wenden usw.