Please upgrade your browser for the best possible experience.

Chrome Firefox Internet Explorer
×

Warnung vor neuer Version des "BKA-Trojaners"

STAR WARS: The Old Republic > Deutsch (German) > Community
Warnung vor neuer Version des "BKA-Trojaners"

kicknemesis's Avatar


kicknemesis
06.07.2012 , 11:22 AM | #1
Hi!

Es hat mich nach x Jahren auch mal erwischt und ich habe mir nen "hübschen" Virus (BKA-Trojaner) eingefangen. Diesen wieder los zu werden war nicht das Problem, schlimmer ist, dass er (in der neuesten Version von Mitte Mai) alle Eigenen Dateien (Bilder, Videos, Dokumente) so verschlüsselt hat, dass kein Zugriff mehr möglich ist. Natürlich habe ich keine BackUps (ausser von ein paar einzelnen Dateien) .
Jede Decrypt-Software hat bisher versagt, mal schauen, wie es weiter geht.

Wollte auf diesem Wege halt nur mal die Leute warnen, ich hab mir das Ding versteckt als Rechnung (ZIP-Datei) per E-Mail eingefangen. War zwar direkt misstrauisch und habe das Teil mit MS Security Essentials vorher geprüft, aber der meinte, es sei alles ok.

Deshalb: Bleibt wachsam!

Tahlir's Avatar


Tahlir
06.07.2012 , 02:42 PM | #2
Dann öffne das Ding wenn du misstrauisch bist lieber gleich in einer Sandbox. Aber das mit den Eigenen Dateien ist ja mal übel.
Warhammer Online: Tahlir | Schwertmeister
SWTOR: T3-M4 | Jedi-Ritter Hüter

kicknemesis's Avatar


kicknemesis
06.07.2012 , 03:14 PM | #3
Ha, habe die auch schon abgeschrieben, es scheint offenbar ein Zufallsbasierter Algorhytmus zu sein, gegen den kein (Decrypt-)Kraut gewachsen ist. Und das schlimme: Der Urheber dieses "feinen" Stücks Software haut so schnell neue Versionen von dem Ding raus, dass man da nicht hinterher kommt. Die Jungs von Delphi und Trojaner-Board haben sich an dem Ding auch schon die Zähne ausgebissen.

Also öffnet AUF KEINEN FALL den Anhang einer Mail, der angeblich eine gezippte (gepackte) Rechnung sein soll. Das Ding hat gerne die Endung *.pif
!
!!
!!!

Loboth's Avatar


Loboth
06.11.2012 , 01:41 PM | #4
Auf jeden Fall sage ich mal vielen Dank für die Warnung!
Lass mich sein wer ich war und vergib mir was ich bin!

OctavioSWTOR's Avatar


OctavioSWTOR
06.11.2012 , 03:36 PM | #5
Wer öffnet denn bitte irgendwelche ominöse Dateien von zwielichtigen Absendern ? Selber schuld würd ich mal sagen ...

Loboth's Avatar


Loboth
06.12.2012 , 11:35 AM | #6
Quote: Originally Posted by OctavioSWTOR View Post
Wer öffnet denn bitte irgendwelche ominöse Dateien von zwielichtigen Absendern ? Selber schuld würd ich mal sagen ...
Da du ja anscheinend das Game verlassen hast, das vermute ich ob deiner Signatur, frage ich mich was dich dazu anficht nichtsdestotrotz im doch recht offiziellen Forum deine Klugscheisserei abzulassen...?
Halte dich geschlossen und alle sind glücklich!

BTW auch wenn du antworten solltest, werde ich es, zu meinem nie endenden bedauern, wahrscheinlich nicht lesen...also spar dir den Quatsch und geh bei D3 jammern
Lass mich sein wer ich war und vergib mir was ich bin!

OctavioSWTOR's Avatar


OctavioSWTOR
06.12.2012 , 06:15 PM | #7
Quote: Originally Posted by Loboth View Post
Da du ja anscheinend das Game verlassen hast, das vermute ich ob deiner Signatur, frage ich mich was dich dazu anficht nichtsdestotrotz im doch recht offiziellen Forum deine Klugscheisserei abzulassen...?
Halte dich geschlossen und alle sind glücklich!

BTW auch wenn du antworten solltest, werde ich es, zu meinem nie endenden bedauern, wahrscheinlich nicht lesen...also spar dir den Quatsch und geh bei D3 jammern
Ich habe nie in meinem Leben D3 gespielt und habs auch nicht vor. Und habe eben auch noch SWTOR gespielt,also dummer Post von dir.

Reedick's Avatar


Reedick
06.12.2012 , 11:09 PM | #8
Vor einem Monat stand hierzu was in der Chip. Ich hab nur mal das wichtigste kopiert.

.....Die "Version 2" des BKA-Trojaners sperrt nicht nur den PC, sondern verschlüsselt auch gleich noch persönliche Daten. Wir zeigen, wie Sie den Bundespolizei-Virus entfernen und Ihre Daten entsperren, ganz ohne Lösegeld zu bezahlen. .................

.....Schritt 3: Verschlüsselung knacken
Jetzt geht es ans Eingemachte: Die Windows-Sperre ist weg, aber der Bundespolizei Trojaner hat Ihre Dateien verschlüsselt. Diese Verschlüsselung müssen Sie knacken. Wir legen Ihnen dafür zwei Tools ans Herz, Avira Ransom File Unlocker und Kaspersky Rannoh Decryptor. Damit die Tools funktionieren, müssen Sie unverschlüsselte Versionen von Dateien angeben. Das können beispielsweise Standard-Wallpaper von Windows sein oder ihre eigenen Dateien aus einem Backup. ..........

Hier die Quelle und die Links:

Quelle:http://www.chip.de/news/Bundespolize..._50761972.html

http://www.chip.de/downloads/Avira-R..._55945669.html

http://www.chip.de/downloads/Kaspers..._55945985.html
I have a bad feeling about this.
Gilde: Kodex [T3-M4]
http://www.kodex.dkp4guilds.com/

kicknemesis's Avatar


kicknemesis
06.13.2012 , 05:00 AM | #9
Quote: Originally Posted by Reedick View Post
Vor einem Monat stand hierzu was in der Chip. Ich hab nur mal das wichtigste kopiert.

.....Die "Version 2" des BKA-Trojaners sperrt nicht nur den PC, sondern verschlüsselt auch gleich noch persönliche Daten. Wir zeigen, wie Sie den Bundespolizei-Virus entfernen und Ihre Daten entsperren, ganz ohne Lösegeld zu bezahlen. .................

.....Schritt 3: Verschlüsselung knacken
Jetzt geht es ans Eingemachte: Die Windows-Sperre ist weg, aber der Bundespolizei Trojaner hat Ihre Dateien verschlüsselt. Diese Verschlüsselung müssen Sie knacken. Wir legen Ihnen dafür zwei Tools ans Herz, Avira Ransom File Unlocker und Kaspersky Rannoh Decryptor. Damit die Tools funktionieren, müssen Sie unverschlüsselte Versionen von Dateien angeben. Das können beispielsweise Standard-Wallpaper von Windows sein oder ihre eigenen Dateien aus einem Backup. ..........

Hier die Quelle und die Links:

Quelle:http://www.chip.de/news/Bundespolize..._50761972.html

http://www.chip.de/downloads/Avira-R..._55945669.html

http://www.chip.de/downloads/Kaspers..._55945985.html
Das ist die alte Version des Trojaners. Die, die die Dateien noch mit dem "locked-" verschlüsseln. Die sind noch sehr einfach wieder zu decrypten. Die neuesten Versionen (ab Mitte Mai) verschlüsseln die ersten 12 kB einer Datei und geben ihr eine treffende Bezeichnung wie "XFlasnfaSXDCas" (o.ä.).
Momentan sieht es so aus (laut den Jungs von Delphi und TB) dass man nur darauf hoffen kann, dass ein Polizist das Passwort zum entschlüsseln zurück bringt (unwarscheinlich).

Lootzifa's Avatar


Lootzifa
06.13.2012 , 05:36 AM | #10
Quote: Originally Posted by kicknemesis View Post
Ha, habe die auch schon abgeschrieben, es scheint offenbar ein Zufallsbasierter Algorhytmus zu sein, gegen den kein (Decrypt-)Kraut gewachsen ist. Und das schlimme: Der Urheber dieses "feinen" Stücks Software haut so schnell neue Versionen von dem Ding raus, dass man da nicht hinterher kommt. Die Jungs von Delphi und Trojaner-Board haben sich an dem Ding auch schon die Zähne ausgebissen.

Also öffnet AUF KEINEN FALL den Anhang einer Mail, der angeblich eine gezippte (gepackte) Rechnung sein soll. Das Ding hat gerne die Endung *.pif
!
!!
!!!
ähm, ja genau.

Ist ja nicht auch schon seit Jahren bekannt das man gewisse Dateien die gewisse Endungen aufweisen nicht öffnen sollte. Und wenn ich eine Rechnung per Mail bekomme werde ich eh schon mißtrauisch auch wenn es ein bekannter Absender sein sollte.
Davon ab das mein Virenscanner (kostenlos) solche verseuchten Dinger eh löschen würde.

Ein 12Kb großer Schlüssel ist sicher zu knacken, dauert nur eine ganze Weile, gemessen an den Möglichkeiten die man hat.
12Kb = 12288 Bytes = 98304 Bit (Zeichen)

Glaub die Nasa oder NSA dürfte nen Rechner haben der das in adäquater Zeit schaffen dürfte

Mich würde viel mehr interessieren, welcher Emailanbieter so eine Datei überhaupt durch lässt. Nur zur Vorsicht das ich mir dort keine email Adresse zulegen werde.