Verschlüsselungs-Trojaner Variante Einstellungen

[Solution-Design]

https://www.virustotal.com/de/file/4cfd438b...sis/1439906413/

Den Jungs scheint wieder langweilig zu sein. Mir gerade auch, habe deshalb mal den Spam-Ordner online durchforstet

[Virusscanner]

Wer von TeslaCrypt befallen wird und einer der neueren Versionen erwischt, sollte rasch handeln und den während des Verschlüsselungsprozesses verwendeten Schlüssel sichern. Das heisst, wer den Schädling ausführt, sollte sofort handeln. Wer den PC während der Verschlüsselung abstellt, hat nach dem Neustart das Problem, dass die bis dato noch unverschlüsselten Dateien mit einem neuen Schlüssel codiert werden.

Die neueste Variante soll im .doc-Format statt .js vorliegen und ist damit noch heimtückischer, da viel zu viele der Endung wohl trauen werden. Chris30duew, Emsisoft erkennt diesen übrigens noch nicht . Virustotal

Ich kann nur empfehlen, BloodDolly's TeslaDecoder schon mal zur Hand zu haben.

Dieser Thread ist sicher hilfreich und dürfte bei inzwischen befallenen Systemen unter Umständen in Zukunft eine Lösung bereitstellen.

Ich kann nur anraten, auf keinen Fall Lösegeld zu bezahlen. Damit bewirtschaftet man die kriminellen Machenschaften nur. Falls es zu spät ist, um den Schlüssel aus der Registry/Textdatei zu entnehmen, sollte man lieber zuwarten.

Achtung: Backups und Datensicherungen auf dem befallenen Computer werden ebenfalls verschlüsselt. Sicher ist nur ein Backup, das getrennt vom befallenen System aufbewahrt wird.

Der Beitrag wurde von Virusscanner bearbeitet: 14.12.2015, 22:29

[Solution-Design]

Die neueste Variante soll im .doc-Format statt .js vorliegen und ist damit noch heimtückischer, da viel zu viele der Endung wohl trauen werden. Chris30duew, Emsisoft erkennt diesen übrigens noch nicht . Virustotal

Was macht die *.DOC? Außer Word starten. Was macht JavaScript? Außer eine mögliche Weiterleitung beginnen.

Im Allgemeinen läuft es doch so. Böse Rechnung.EXE im Anhang entzippen, anklicken, Administratorrechte zusprechen, Browser startet über JavaScript Download, anschließend Installation. Wobei ich da wieder Schwierigkeiten habe zu glauben, dass diese im Hintergrund ablaufen soll, ohne weitere Interaktion.

[Schulte]

Dann übernehme ich mal die andere Hälfte:

Was macht die *.DOC? Außer Word starten.

Wenn die Ausführung von Makros deaktiviert ist, kann das alles sein.
Für den anderen Fall habe ich diese Woche etwas reinbekommen:

Das Word-Dokument wird geöffnet, das Makro startet.
Es sucht nach einer bestimmten Textstelle, die sich auf einer scheinbar leeren Seite befindet. Scheinbar leer, da die Textfarbe der Hintergrundfarbe entspricht. Durch markieren kannst Du erkennen, dass dort "Zeichen" als Hexcode abgelegt sind. Diese werden Byte für Byte gelesen und in einer Datei gespeichert. Die wird dann nur noch in eine ausführbare Datei umbenannt und vom Makro auch gleich gestartet.

Ein evtl. Nachladen ist hinfällig, die Malware ist schon auf dem Rechner und läuft zunächst mit den Rechten des Users.