Die nächste Version des Virus würde dann die Fähigkeit bekommen den Eintrag in der Firewall zu löschen oder die Firewall generell auszuschalten.
Was einen gewissen Effekt bringen würden, wäre ein DOS-Angriff auf die Command&Control-Server.
Man müsste die Server mit Fake-Daten regelrecht zuschiesen.
Problem ist nur, dass dann der Virus so geändert wird, dass er immer einen CC-Server findet.
Die Rechnernamen oder IP-Adressen sind dann nicht mehr hartcodiert, sondern werden von einem ausgeklügelten Algorithmus erzeugt, wie man ihn schon von Botnetzen kennt.
Wenn ein CC-Server gekillt wird stehen schon 5 andere bereit den Job zu übernehmen.

Schon richtig, wenn der Ransom keinen Serverkontakt bekommt, verschluesselt er nicht. Das war auch mein anfaengliches Problem.
Der Trojaner sass auf dem Rechner und tat nichts. Bis ich mir den Netzwerkverkehr angeschaut habe und festgestellt hatte das der AV vom uebergeordneten System den Netzwerkverkehr stoerte.

Ich habe den Verdacht, dass da noch ein paar mehr Leute betroffen sind, wo der AV im Moment noch die Aktivierung verhindert.

@Markusg: Jupp, wuerde mir die v2 auch gerne mal anschauen. Seit wann ist die aktiv?

Die neueste Version hab ich mit in einer VM mit Filemon angeschaut trägt sich jetzt schon in der WinDoof Firewall ein. hosts wäre eine Lösung, muss aber ständig aktuell gehalten werden - immer noch ein Restrisiko einen Virus zu erwischen dessen C&C nicht in der hosts steht.

Eine sicherere Variante ist den Mailer und den Browser in z.b. Sandboxie laufen zu lassen. Man muss das aber so anpassen das der Mailer in seiner ursprünglichen Datenbank schreiben lann.

Hallo,
Es müsste doch eigentlich egal sein, wie der Trojaner IP und Rechnername verschlüsselt, über die Leitung muss doch die IP zum Zielrechner gehen, sonst kommt der Verkehr ja nicht an. Will sagen, egal wie verschlüsselt wird, mit einer Überwachung des Netzverkehres müssten sie doch ermittelbar sein?

Wie kann ein Trojaner denn eigene Daten in die Windowsfirewall eintragen, verändern, löschen, wie macht er das bei Zonealarm, bei Comodo oder gar einer Hardwarefirewall, die zwischen Firmennetz und "Außenwelt" steht? Klar, für den Heimanwender ist eine Hardwarefirewall sicherlich nicht die Lösung

Mir ist durchaus klar, dass es keine Lösung gibt, um alle aktuellen und alle zukünftigen Varianten dieses Virus "stillzulegen". Es handelt sich hier um ein klassisches Wettrüsten, der Angreifer (sprich Trojaner) ist immer ein Stück voraus, man muss immer auf Änderungen reagieren
Was kann ich als "normalsterblicher Heimanwender" tun, um es den Virus- und Trojanerentwicklern möglichst schwer zu machen, es müsste für die so schwer werden, dass sich Aufwand und Nutzen nicht mehr rechnen.
Ok: "Spaßkriminelle", die das nur als Herausforderung ansehen,
werden diesen Wettkampf vermutlich begeistert aufnehmen.

Stephan

PS: Der beste Viren- und Trojanerschutz ist wohl immer noch: Mails von unbekannten Absendern ungelesen löschen.

Wenn man dies konsequent tut, dann hat man schon ein weiteres Stückchen Sicherheit erreicht, doch gestaltet es das Geschäftsleben eine Idee schwieriger, da gerade die Kontaktaufnahme mit neuen Personen ja unter Umständen absolut gewollt ist.

Das sieht man an Flame, der sich mit einem Trick al Windowsupdate ausgab und so auch unter Nicht-Adminrechten installiert wurde.

Hallo,
klar, dass Geschäftsleben kenn' ich nun schon seit ein paar Jahrzehnten, aber trotzdem ist es mir immer gelungen unbekannte Personen und deren zu löschende Mails und unbekannte neue Geschäftspartner zu unterscheiden. Betreffzeilen von Spam, Trojanern... sind irgendwie nie so, dass sie auf einen sinnvollen Inhalt schließen lassen, spätestens bei dem textlichen Inhalt der zu dem hier genannten Trojaner gehörenden Mails sollte aber die Alarmglocke klingeln. Man sollte wissen, wo man wann was gekauft hat und ob der Geschäftspartner Rechnungen, Mahnungen... per Mail verschickt.
Okay, vielleicht sind meine Sinne in der Hinsicht etwas geschärft, da ich für mehrere Jahre die vom Spamfilter auf dem Server festgehaltenen Mails nach gut und böse sortieren musste und für deren Weiterleitung bzw. sichere Entfernung zuständig war.

Stephan

Hallo...

ich hätte noch 2 unangetastete Exemplare der letzten Tage. Bei Bedarf bitte melden und kurz erklären ob und wie ich den E-Mail Anhang gefahrlos speichern und anhängen kann.

Respekt für Eure Arbeit.

Hi,

bei mir kommen auch fast täglich Mails mit Rechnungen / Mahnungen / Buchungsbestätigungen etc. mit ZIP-Anhängen.
Aufgrund der zeitlichen Nähe vermute ich mal eben jenen Virus als Inhalt.
Bislang sind die Mails direkt "geshreddert" worden - aber falls die hier jemand gebrauchen kann - einfach Bescheid geben, dann hebe ich sie auf - als Mac-User sollte er mir ja nix anhaben können.

LG,
Frederic

Naja ich persoenlich lese Mails normalerweise nur als Text und versende hoeflicherweise meine Mails auch als Text. Hilft zwar in diesem Fall nicht, da ja das pif/scr/com/? file noch von Hand gestartet werden muss.
Was ja offensichtlich Leute tun. Da schlaegt auch Microsofts Strategie, Dateiendungen zu "verschlucken" unangenehm zu Buche. Otto Normaluser weiss gar nicht auf was genau er sich da einlaesst und klickt freudig oder aergerlich erregt. Oder einfach nur aus Neugier.

Aus meiner Sicht das beste, was man tun kann ist bei Erscheinen des Fensters mit der Geldforderung kurzerhand den Stecker aus der Wand ziehen. Oder besser noch schon bei Erscheinen der Meldung mit dem falschen Dateiformat. In letzterem Falle waere sogar kaum oder kein Datenverlust, wenn das halbwegs zeitnah passiert.

Im anderen Fall die Platte wie sie ist jemandem in die Hand geben, der sich damit auskennt. Am besten gleich noch eine neue Platte installieren und dem Datenretter (hoffentlich) einfach die benoetigte Zeit lassen.

In diesem Fall fuehren unbedarfte Selbstversuche in aller Regel nur zu noch mehr Datenverlust.