Fabian Wosar

Emsisoft Employee
  • Content Count

    4403
  • Joined

  • Days Won

    1

Everything posted by Fabian Wosar

  1. Gab es bislang keine Anfragen diesbezueglich. Generell waere es auch ziemlich daemlich das zu tun. Letztlich wuerden uns die Strafverfolgungsbehoerden uns ihre Malware damit auf dem silbernen Tablett liefern und ein Leaken waere praktisch vorprogrammiert.
  2. In Neuseeland existiert derzeit keine Rechtssprechung die uns dazu zwingen koennte Nutzer zu trojanisieren oder Daten auszuhaendigen oder mit der Strafverfolgung zu kooperieren. Ob und in wiefern Deutsche Rechtssprechung diesbezueglich auf ein neuseelaendisches Unternehmen anwandbar und durchsetzbar ist, wird sich ohne langwiehrigen Rechtsstreit wahrscheinlich nicht mit Sicherheit sagen lassen. Im Zweifelsfall gibt es in unserer Privacy Policy eine vollstaendige Liste aller Daten die wir von einem Nutzer erheben. Es bleibt also jedem Nutzer frei fuer sich zu entscheiden, ob er das potentielle Risiko eingehen moechte, dass diese Daten von Behoerden eingesehen werden koennen, sollte sich die deutsche Gerichtsbarkeit als durchsetzbar herausstellen oder sich neuseelaendische Rechtssprechung in Zukunft aendern. Davon abgesehen steht der Punkt, dass es einem Verhaltensblocker nicht moeglich ist zw. gutem und boesem Trojaner zu unterscheiden. Der Behaviour Blocker kann nicht wissen fuer welchen Zweck ein Trojaner oder eine Spyware eingesetzt wird, da dies Konzepte sind, die sich ausserhalb der technischen Ebene befinden und sich nicht im Code der Malware niederschlagen.
  3. Gab es schon, vor Jahren: http://blog.emsisoft.com/de/2011/10/11/tec111011de/ Wieso jeder denkt, dass nur weil sein Land jetzt grade mal wieder Trojaner auf seine Mitbuerger loslassen moechte, wir ein neues Statement bringen sollen, erschliesst sich mir nicht. Dann bestuende unser Blog aus nichts anderem mehr.
  4. Wahrscheinlich nicht. Bedeutet einfach nur das EAM die Finger von der Anwendung laesst. Da die Meldung nicht von uns stammt, kann ich dazu keine Aussagen machen. Sicher das alle Spiele Prozesse und alle Prozesse die zu BattleEye gehoeren in den Einstellungen unter Ausnahmen von der Ueberwachung ausgenommen wurden?
  5. Ja, der Fehler wurde zum selben Zeitpunkt wie auch bei Bitdefender behoben.
  6. Battle Eye verhindert, dass der Behaviour Blocker die Anwendung ueberwacht. Einfachster Weg die Meldung zu vermeiden: Das Spiel von der Ueberwachung ausnehmen in den Optionen. Ist letztlich weder ein Bug in EAM noch in BattleEye. Beide Tools machen nur ihren Job.
  7. Yeah, no. RDP will just get you into even more trouble than you are already. Let's stick to TeamViewer please
  8. Any chance I can get remote access to that system via TeamViewer to see why it crashes? You can email me the details here: [email protected] Thanks.
  9. Yes. Please understand that it is weekend and that people may be living in different timezones than you. It is dinner time in most European countries. In general, we try to answer within 24 hours.
  10. Don't worry about it. I asked someone of our team with more experience in malware removal than me to look into it ASAP.
  11. I don't deal with malware removal. We have a dedicated team for that. The reason why those are treated in a different section of a forum is that for privacy reasons we apply stronger restrictions when it comes to downloading files there. These logs can contain a lot of private information, so having them in less restricted areas of the forum is a bad idea. In either case, I have split out your logs into a dedicated thread so one of the malware removal guys can take care of it. You can find the topic here:
  12. No, please create a new thread in the appropriate section. The malware removal guys don't check this forum.
  13. Then you didn't check the thread I linked. The "Let's get started:" bit being the most important one. It consists of three major steps, two of which you can still do even with EEK not working on Windows 2003.
  14. Your system is probably still infected by malware. Some ransomware families added some "anti-decrypter" functionality and try to kill our decrypters in a futile attempt to prevent their victims from getting back their files. I suggest to follow the steps outlined here: https://support.emsisoft.com/announcement/2-start-here-if-you-dont-we-are-just-going-to-send-you-back-to-this-thread/ EEK will not run on Windows 2003. So you can skip that step. After the system was cleaned from the infections, the decrypter should work as expected.
  15. Ja, das ist normal. Wie ich bereits erklaert habe. Das letzte Update erweitert einige der Behaviour Blocking Features auf alle Prozesse, inklusive System Services. Entsprechend ist eine Vermehrung der Event Log Eintraege normal.
  16. Those files aren't encrypted by Nemucod. That is why the Nemucod decrypter doesn't work. Can you please upload one encrypted file and the ransom note from your system to https://id-ransomware.malwarehunterteam.com and post the result link here? Thanks.
  17. I released a new version of the decrypter. It now checks for the presence of BOM as well as whether or not the first 28 bytes are all <= 127 in an attempt to detect text based formats.
  18. Different BB versions. The scope of which processes the BB monitors changes from release to release.
  19. Thanks, hairygeek. The only difference I can see between our setups and yours is that you use 365 instead of the retail version, which is based on some virtualisation solution. So the File Guard interfering would actually make sense, even though the crash is still not in our code, but triggered probably because the scan introduces some delays.
  20. I will see if I can do something for you tomorrow. For Unicode text files (C#) I may be able to identify the BOM.
  21. Text-based formats lack unique identifiers within their first 16 bytes to uniquely identify them as such. Therefore, the decrypter can't process them properly without file name encryption being present.
  22. That is weird, yes. Especially since the entire company uses Office and EAM as well and not one of them has had any problems so far. Can you give me your exact Office version (365 or Retail) as well as your Windows version? I will try to reproduce the problem again.
  23. Die Meldung ist normal. Bestimmte Prozesse, die mit DRM in Verbindung stehen, weigern sich DLLs zu laden, die nicht von Microsoft speziell signiert sind. Das Resultat ist dann die von Dir gepostete Meldung im Eventlog. Wenn Du die Meldung nicht sehen moechtest, kannst Du die betreffenden Prozesse in den Optionen/Ausnahmen von der Ueberwachung ausnehmen.
  24. Not necessarily. More indicative of campaigns is the same C2 server being in use.
  25. It has nothing to do with the Windows version. Nemesis is a ransomware-as-a-service offer, that means everyone can subscribe to it and get their own ransomware. Kaspersky only liberated the required keys for some of the Nemesis partners. That means only campaigns associated with those partners can be decrypted.