Hi!

 

Es hat mich nach x Jahren auch mal erwischt und ich habe mir nen "hübschen" Virus (BKA-Trojaner) eingefangen. Diesen wieder los zu werden war nicht das Problem, schlimmer ist, dass er (in der neuesten Version von Mitte Mai) alle Eigenen Dateien (Bilder, Videos, Dokumente) so verschlüsselt hat, dass kein Zugriff mehr möglich ist. Natürlich habe ich keine BackUps (ausser von ein paar einzelnen Dateien) .

Jede Decrypt-Software hat bisher versagt, mal schauen, wie es weiter geht.

 

Wollte auf diesem Wege halt nur mal die Leute warnen, ich hab mir das Ding versteckt als Rechnung (ZIP-Datei) per E-Mail eingefangen. War zwar direkt misstrauisch und habe das Teil mit MS Security Essentials vorher geprüft, aber der meinte, es sei alles ok.

 

Deshalb: Bleibt wachsam!

Dann öffne das Ding wenn du misstrauisch bist lieber gleich in einer Sandbox. Aber das mit den Eigenen Dateien ist ja mal übel.

Ha, habe die auch schon abgeschrieben, es scheint offenbar ein Zufallsbasierter Algorhytmus zu sein, gegen den kein (Decrypt-)Kraut gewachsen ist. Und das schlimme: Der Urheber dieses "feinen" Stücks Software haut so schnell neue Versionen von dem Ding raus, dass man da nicht hinterher kommt. Die Jungs von Delphi und Trojaner-Board haben sich an dem Ding auch schon die Zähne ausgebissen.

 

Also öffnet AUF KEINEN FALL den Anhang einer Mail, der angeblich eine gezippte (gepackte) Rechnung sein soll. Das Ding hat gerne die Endung *.pif

!

!!

!!!

Auf jeden Fall sage ich mal vielen Dank für die Warnung!

Wer öffnet denn bitte irgendwelche ominöse Dateien von zwielichtigen Absendern ? Selber schuld würd ich mal sagen ...

Wer öffnet denn bitte irgendwelche ominöse Dateien von zwielichtigen Absendern ? Selber schuld würd ich mal sagen ...

Da du ja anscheinend das Game verlassen hast, das vermute ich ob deiner Signatur, frage ich mich was dich dazu anficht nichtsdestotrotz im doch recht offiziellen Forum deine Klugscheisserei abzulassen...?

Halte dich geschlossen und alle sind glücklich!

 

BTW auch wenn du antworten solltest, werde ich es, zu meinem nie endenden bedauern, wahrscheinlich nicht lesen...also spar dir den Quatsch und geh bei D3 jammern

Da du ja anscheinend das Game verlassen hast, das vermute ich ob deiner Signatur, frage ich mich was dich dazu anficht nichtsdestotrotz im doch recht offiziellen Forum deine Klugscheisserei abzulassen...?

Halte dich geschlossen und alle sind glücklich!

 

BTW auch wenn du antworten solltest, werde ich es, zu meinem nie endenden bedauern, wahrscheinlich nicht lesen...also spar dir den Quatsch und geh bei D3 jammern

 

Ich habe nie in meinem Leben D3 gespielt und habs auch nicht vor. Und habe eben auch noch SWTOR gespielt,also dummer Post von dir.

Vor einem Monat stand hierzu was in der Chip. Ich hab nur mal das wichtigste kopiert.

 

.....Die "Version 2" des BKA-Trojaners sperrt nicht nur den PC, sondern verschlüsselt auch gleich noch persönliche Daten. Wir zeigen, wie Sie den Bundespolizei-Virus entfernen und Ihre Daten entsperren, ganz ohne Lösegeld zu bezahlen. .................

 

.....Schritt 3: Verschlüsselung knacken

Jetzt geht es ans Eingemachte: Die Windows-Sperre ist weg, aber der Bundespolizei Trojaner hat Ihre Dateien verschlüsselt. Diese Verschlüsselung müssen Sie knacken. Wir legen Ihnen dafür zwei Tools ans Herz, Avira Ransom File Unlocker und Kaspersky Rannoh Decryptor. Damit die Tools funktionieren, müssen Sie unverschlüsselte Versionen von Dateien angeben. Das können beispielsweise Standard-Wallpaper von Windows sein oder ihre eigenen Dateien aus einem Backup. ..........

Hier die Quelle und die Links:

 

Quelle:http://www.chip.de/news/Bundespolizei-Virus-entfernen-PC-entsperren_50761972.html

 

http://www.chip.de/downloads/Avira-Ransom-File-Unlocker_55945669.html

 

http://www.chip.de/downloads/Kaspersky-RannohDecryptor_55945985.html

Edited June 13, 2012 by Reedick

Vor einem Monat stand hierzu was in der Chip. Ich hab nur mal das wichtigste kopiert.

 

.....Die "Version 2" des BKA-Trojaners sperrt nicht nur den PC, sondern verschlüsselt auch gleich noch persönliche Daten. Wir zeigen, wie Sie den Bundespolizei-Virus entfernen und Ihre Daten entsperren, ganz ohne Lösegeld zu bezahlen. .................

 

.....Schritt 3: Verschlüsselung knacken

Jetzt geht es ans Eingemachte: Die Windows-Sperre ist weg, aber der Bundespolizei Trojaner hat Ihre Dateien verschlüsselt. Diese Verschlüsselung müssen Sie knacken. Wir legen Ihnen dafür zwei Tools ans Herz, Avira Ransom File Unlocker und Kaspersky Rannoh Decryptor. Damit die Tools funktionieren, müssen Sie unverschlüsselte Versionen von Dateien angeben. Das können beispielsweise Standard-Wallpaper von Windows sein oder ihre eigenen Dateien aus einem Backup. ..........

Hier die Quelle und die Links:

 

Quelle:http://www.chip.de/news/Bundespolizei-Virus-entfernen-PC-entsperren_50761972.html

 

http://www.chip.de/downloads/Avira-Ransom-File-Unlocker_55945669.html

 

http://www.chip.de/downloads/Kaspersky-RannohDecryptor_55945985.html

 

Das ist die alte Version des Trojaners. Die, die die Dateien noch mit dem "locked-" verschlüsseln. Die sind noch sehr einfach wieder zu decrypten. Die neuesten Versionen (ab Mitte Mai) verschlüsseln die ersten 12 kB einer Datei und geben ihr eine treffende Bezeichnung wie "XFlasnfaSXDCas" (o.ä.).

Momentan sieht es so aus (laut den Jungs von Delphi und TB) dass man nur darauf hoffen kann, dass ein Polizist das Passwort zum entschlüsseln zurück bringt (unwarscheinlich).

Edited June 13, 2012 by kicknemesis

Ha, habe die auch schon abgeschrieben, es scheint offenbar ein Zufallsbasierter Algorhytmus zu sein, gegen den kein (Decrypt-)Kraut gewachsen ist. Und das schlimme: Der Urheber dieses "feinen" Stücks Software haut so schnell neue Versionen von dem Ding raus, dass man da nicht hinterher kommt. Die Jungs von Delphi und Trojaner-Board haben sich an dem Ding auch schon die Zähne ausgebissen.

 

Also öffnet AUF KEINEN FALL den Anhang einer Mail, der angeblich eine gezippte (gepackte) Rechnung sein soll. Das Ding hat gerne die Endung *.pif

!

!!

!!!

 

ähm, ja genau.

 

Ist ja nicht auch schon seit Jahren bekannt das man gewisse Dateien die gewisse Endungen aufweisen nicht öffnen sollte. Und wenn ich eine Rechnung per Mail bekomme werde ich eh schon mißtrauisch auch wenn es ein bekannter Absender sein sollte.

Davon ab das mein Virenscanner (kostenlos) solche verseuchten Dinger eh löschen würde.

 

Ein 12Kb großer Schlüssel ist sicher zu knacken, dauert nur eine ganze Weile, gemessen an den Möglichkeiten die man hat.

12Kb = 12288 Bytes = 98304 Bit (Zeichen)

 

Glaub die Nasa oder NSA dürfte nen Rechner haben der das in adäquater Zeit schaffen dürfte

 

Mich würde viel mehr interessieren, welcher Emailanbieter so eine Datei überhaupt durch lässt. Nur zur Vorsicht das ich mir dort keine email Adresse zulegen werde.

Edited June 13, 2012 by Lootzifa

Na, wenn Du so schlau bist und es kannst, melde Dich auf dem Delphi Board an und erleuchte die "Nieten", die offenbar nichts können, mit Deinem Wissen.

 

EDIT: Hier findest Du den Thread mit den bisherigen Bemühungen.

 

Davon abgesehen: Es bringt nichts, einen schnellen Rechner (Rechnerpark) zu haben, der sowas in Windeseile entschlüsseln kann, wenn man nicht weiß, WIE die Dateien verschlüsselt wurden.

Edited June 13, 2012 by kicknemesis

Du musst nicht deinen Frust um deiner Unwissenheit an anderen auslassen

 

Habe nie behauptet das ich das knacken könnte, habe nur geschrieben das es entsprechend dauern wird die zig Tausend, naja eher Milliarden Möglichkeiten durch zu probieren. Mit ner normalen Brute Force wirst da nicht weit kommen. Es sei denn du hast mehrere Jahrzehnte Zeit

Du musst nicht deinen Frust um deiner Unwissenheit an anderen auslassen

 

Habe nie behauptet das ich das knacken könnte, habe nur geschrieben das es entsprechend dauern wird die zig Tausend, naja eher Milliarden Möglichkeiten durch zu probieren. Mit ner normalen Brute Force wirst da nicht weit kommen. Es sei denn du hast mehrere Jahrzehnte Zeit

 

Ich lasse meinen Frust nicht raus, habe nämlich keinen. Wenn Du den Thread aufmerksam gelesen hättest, wüsstest Du, dass ich die Dateien schon vor Tagen abgeschrieben habe. Ich wollte lediglich die Leute hier warnen, da das Ding sich rasend schnell verbreitet und noch einigen Schaden anrichten wird (und vllt. kommt der Macher des Dinges irgendwann auf den Trichter, das Teil via "Drive by" zu verbreiten.).

 

Aber was ich nicht haben kann sind Klugscheissereien a la "och, so dramatisch ist das Teil nicht, n NSA Rechner schafft das... bla!". Fein... hast Du Zugriff auf nen NSA-Rechner? Ich nur bis CIA, kommen da nicht weiter!

Mal ganz ehrlich jetzt, ohne klug zu schei**en

 

Du begehst einen Kardinalfehler beim öffnen einer email. Nicht nur das du eine Zipdatei mit Endung .pif öffnen wolltest sondern du verlässt dich auf ein Securityprogramm von MS was dir sagt "jop alles ok, mach auf".

 

Fehler können passieren, keine Frage, aber das was ich da gerade beschrieben habe sind Fehler, bzw ist ein Fehler der nur Leuten passiert die sich nie damit auseinander gesetzt haben, wahrscheinlich nicht einmal den Unterschied zwischen Trojaner und Virus kennen .

 

Und dann verlinkst du auf einen Diskussionsstrang in einem Programmierer Forum?

 

Was genau erhoffst du dir dort an Hilfe?

In dem Thread den du mir verlinkt hast diskutieren die u.a. darüber die Verschlüsselung zu knacken (was ich übrigens falsch verstanden habe auf Seite 1, mit den 12kb). Da kannst du mit reden?

 

Ich befasse mich schon seit Jahren mit IT Sicherheit, sowohl privat wie auch bei uns in der Firma und selbst ich verstehe teilweise nicht wovon die dort überhaupt reden.

 

Falls du also wirklich Hilfe suchst, dann schau auf Seiten nach die für Normalanweder gedacht sind.

http://www.heise.de wäre so eine.

Nochmal: Et juckt mich nicht die Bohne, es erwischt jeden mal und nun eben mich! Pech!

Und ich bin kein Dau, mein letzter Job war Techniker in einem Computerladen (Gewährleitungsfälle etc.). Also unterstell mir nicht, ich hätte überhaupt keinen Plan von PCs. Programmieren, davon hab ich keine Peilung, das stimmt, aber ansonsten...

 

Ich erwarte keine Hilfe von diesem Forum (bin da nicht mal registirert), sondern verfolge das mit Spannung, da ich es interessant finde. Und wie gesagt: Das Ding verbreitet sich wie ein Lauffeuer und wird immensen Schaden anrichten (spätestens als Drive-by Download). Das Ding wird auch so schnell immer geändert, dass die meiste Schutzsoftware potenziell versagen wird. Ich wollte einfach die Leute hier warnen. Aber wenn das nicht erwünscht ist von Typen wie Dir, dann lass ich es eben bleiben.

Deshalb: Bleibt wachsam!

 

Hat nix mit Wachsamkeit zu tun, man sollte sich nur nicht dort anmelden wo es nicht legale Dinge gibt. Denn dort tummelt sich dieses Ding mit Vorliebe rum. Tut mir leid, aber jeder dass Ding hat, dem unterstelle ich zu 95% einfach mal: Selber Schuld!

Öhm, nicht unbedingt. In meinem Fall war es so, dass die Mail von einem Absender "neuverlieben.com" kam. Dies ist eine ganz normale und seriöse Communityseite. Dort war ich in der Tat vor x Jahren mal angemeldet. Hinzu kam, dass mein Vorname in der Mail stand, was darauf hindeutet, dass die DB von neuverlieben.com gehackt wurde. Die Sicherheitslücke liegt also eigentlich bei denen.

Mal ganz vom drumherum abgesehen.

 

Das BKA oder irgendeine andere Behörde sendet mir einen von ihr geschaffenen Virus zu, der meine persönlichen Daten verschlüsselt und unbrauchbar macht.

 

Ich würde SOFORT folgendes tun: Das BKA anschreiben, Datenschutzbeauftragten ins CC setzen, und eine begründete Erklärung dafür verlangen, unter welchem Gesichtspunkt diese "Überprüfung" eingeleitet wurde, sowie verlangen, dass sämtliche Daten umgehend entsperrt werden. Ggf direkt Anzeige erstatten.

 

Ich mein, hallo? Wir leben in einem Rechtsstaat. Ohne begründeten Verdacht ist mein PC für Ermittlungsbehörden gefälligst tabu, und per Virus schon gleich mal garnicht, schliesslich bin ich kein Al-Kaida Mitglied.

http://www.krone.at/Schlagzeilen/Neuer_Trojaner_schockt_mit_hoher_Rechnung-Vorsicht._Falle!-Story-324374

 

für alle zum nachdenken!

@Citinetty:

 

Das Ding heißt nur "BKA"-Virus, weil es sich als solchen ausgibt. Natürlich stammt das Teil nicht vom Bundeskriminalamt, sondern von einer Erpresserbande ausm Osten (Richtung Russland oder China). Das Teil encryptet Deine Daten, startet den Rechner neu und statt des Windows-Bildschirms (oder WIllkommen) begrüßt Dich dann eine Fake-Meldung vom "BKA", dass Deine Daten verschlüsselt wurden wegen Verdachts auf illegale Software oder sonst was und Du kannst sie gegen Zahlung von 100 Euro (wobei das variabel ist, gab auch schon Meldungen mit 50 und welche mit 200 Euro... man will wohl die Schmerzgrenze ertasten) per ukash (gibts an Tankstellen) entschlüsseln kann. Selbstverständlich sollte man NICHT zahlen. Habe gehört, dass danach die Verschlüsselung trotzdem nicht aufgehoben wird (warum auch, die Erpresser haben die Kohle ja).

 

Ist also ne Stinknormale Erpressung, das BKA hat damit natürlich NICHTS zu tun.

Edited June 13, 2012 by kicknemesis

http://www.krone.at/Schlagzeilen/Neuer_Trojaner_schockt_mit_hoher_Rechnung-Vorsicht._Falle!-Story-324374

 

für alle zum nachdenken!

 

Jupp, das isser! Wobei im Artikel nichts von der Datenverschlüsselung steht. Oder vom Willkommensbildschirm.

 

 

 

das ist die mail die ich erhalten habe ist schon die 5 innerhalb einer woche -.-

bei der ersten wäre ich tatsächlich so blöd gewesen und wollte die zip datei öffnen allerdings hat hotmail das geblocked und mir gesagt da ist ein virus drin!

glück im unglück!

aber gut zuwissen das es der bka trojaner ist ich wäre echt am arsch gewesen!

ach btw die mail war nicht im spam ordner ich hab die mail adresse gegoogelt!

Edited June 13, 2012 by lesatron

Öhm, nicht unbedingt. In meinem Fall war es so, dass die Mail von einem Absender "neuverlieben.com" kam. Dies ist eine ganz normale und seriöse Communityseite. Dort war ich in der Tat vor x Jahren mal angemeldet. Hinzu kam, dass mein Vorname in der Mail stand, was darauf hindeutet, dass die DB von neuverlieben.com gehackt wurde. Die Sicherheitslücke liegt also eigentlich bei denen.

 

Nicht zwangsläufig.

Es könnte genauso gut sein das sich ein Freund / Verwandter von dir sich infiziert hat mit dem Teil und dich in irgend einem Adressbuch entsprechend eingetragen hat. Das mit der Seite kann Zufall sein, muss es aber nicht.

magaleata@​htcplus.net

 

Der Kontaktliste hinzufügen

An XXXXXX

Von: magaleata@htcplus.net

Gesendet: Freitag, 8. Juni 2012 03:29:45

An: XXXXXXXXX

 

Anlagen: 1 Anlage | Alles als ZIP-Datei herunterladen (35,2 KB)

08.06.2012.zip (35,2 KB)

Anlagen, Bilder und Links in dieser Nachricht wurden zu Ihrer Sicherheit blockiert.

Inhalt anzeigen | Inhalt von magaleata@htcplus.net immer anzeigen

 

Hallo XXXXXXXX,

 

du hast am 20.05.2012 um 22:12 auf der Website Heart-booker Dienste zum Preis von 386,14 EUR bestellt. Bei dieser Buchung wurde die IP-Adresse 89.135.234.122 verwendet.

Zum Unglück war der Forderungseinzug durch Lastschrift von deinen eingetragenen Kontodaten nicht machbar bzw. es wurde eine Rücküberweisung veranlasst, für die Unkosten in Höhe von 29,55 EUR berechnet sind. Wir geben Ihnen Gelegenheit den Betrag inklusive der Unkosten für die Rückbuchung bis zum 10.06.2012 an uns zu überweisen.

 

Entziehen Sie die Forderungseinzeilheiten bitte dem der Beilage, dort finden Sie auch die Bestelldetails und Mahnungshinweise.

 

Bei erfolgslosen Ablauf dieser Frist wird ohne weitere Hinweis ein Inkassobüro mit dem Einzug der Forderung beauftragt. Dabei fallen zusätzliche Kosten an.

 

Sofern Sie den geforderten Betrag bereits bezahlt haben, sehen Sie diese Mitteilung als gegenstandslos.

 

Mit freundlichen Grüßen

Rechnungsstelle Trustpay GbmH

Adenau der 08 Juni 2012

 

 

das ist die mail die ich erhalten habe ist schon die 5 innerhalb einer woche -.-

bei der ersten wäre ich tatsächlich so blöd gewesen und wollte die zip datei öffnen allerdings hat hotmail das geblocked und mir gesagt da ist ein virus drin!

glück im unglück!

aber gut zuwissen das es der bka trojaner ist ich wäre echt am arsch gewesen!

ach btw die mail war nicht im spam ordner ich hab die mail adresse gegoogelt!

 

Jupp, bei mir auch! Kein Spam, sondern zumindest "Unbekannt" (web.de). Am besten Anzeige gegen unbekannt erstatten. Wenn es genug machen, bewegen die sich vielleicht mal (oder das BKA schaltet sich wirklich ein )

Ähm,... der Absender der Mail ist wohl vollkommen irrelevant. Er heißt auch BKA Trojaner und hat vermutlich natürlich garnichts mit dem BKA zu tun! Desweiteren zum Nachdenken: Krone.at, ein Boulevardplatt, sehr seriös und die haben bestimmt Ahnung davon. Ich sags doch, selbst schuld! Edited June 13, 2012 by Madokahn