Verschlüsselungs-Trojaner Ransomware verschlüsselt Dateien im Format „locked-Original Dateiname und Typ.axyz“

Der Verschlüsselungs-Trojaner verschlüsselt alle gefundenen Dokumente wie Bilder, Videos, Musik, Excel-, Word- und PDF-Dateien usw. im Format „locked-Original Dateiname und Typ.axyz“.

Seit dem 26.04.2012 treibt ein Verschlüsselungs-Trojaner sein Unwesen. Der Anwender bekommt eine Spam-Mail die ein Anhang wie „Abrechnung.zip“ oder „Rechnung.zip“ enthält. Sobald die Anlage geöffnet wird, werden die Benutzerdateien im Format „locked-<Original Dateiname und Typ>.axyz“ verschlüsselt.

Verschlüsselungs-Trojaner (Screenshot)

Verschlüsselungs-Trojaner

Die Spam-Mails sind auf deutsch und wenden sich an den Empfänger mit folgenden Betreff und Inhalt:

Betreff: „<Vorname> <Nachname> Vertrag Nr 46972057“

Sehr geehrte(r) <Vorname> <Nachname>,

Sie haben sich für unseren Mail Upgrade eingetragen und wir freuen uns Sie als unseren frischen Teilnehmer zu begrüssen Sie können jetzt bis zu 500 Mitteilungen pro Monat frei versenden und Ihr Speicherplatz erhöht sich um 5 Gb.

433,29 Euro für Registration werden Ihnen pro 12 Monate im Vorraus von Ihrem Bankkonto abgeschrieben. Entnehmen Sie die Rechnungsdaten bitte dem Anhang, dort finden Sie auch die Erläuterung für Ihre 2 Wochen Kündigungsfrist.

Mit freudlichen Grüssen

Ihr Kundenservice

 

—————————————–

 

Guten Tag …,

vielen Dank für Ihre Bestellung bei elektronikmax.de, nachfolgend finden Sie Ihre Bestellbestätigung.

Ihre Bestellnummer 58732092145
Artikel: Toshiba 3715196067 581,70 Euro
Rechnungsname: …
Zahlungsmethode: Visa

Versandadresse und detaillierte Vertragsdaten finden Sie im Anhang.

Die Zahlung wurde autorisiert und wird innerhalb 2 Tage abgetragen.
Bestelleinzelheiten und Stornierung Möglichkeiten finden Sie im Anhang.

Ihr Mail-Support

Walddorf GmbH
Bergstieg 25
12153 Augsburg (PLZ ist falsch)

Telefon: (+49) 181 7761456
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Dortmund
Umsatzsteuer-ID: DE899003298
Geschäftsfuehrer: Lisa Schmitz

 

—————————————–

 

Sehr geehrte Damen und Herren, …

Sie haben sich für unseren Mail Upgrade eingetragen und wir sind gespannt Sie als unseren neuen Mitglieg zu begutachten
Sie können jetzt bis zu 400 Sms pro Monat gebührenfrei versenden und Ihr Onlinespeichervolumen wird grösser um 17 GB.
233,39 Euro für Mitgliedschaft werden Ihnen jährlich im vorraus von Ihrem Bankkonto abgeschrieben. Entnehmen Sie die Vertragseinzeilheiten bitte dem Anhang, dort finden Sie auch die Erklärung für Ihre 2 Wochen Kündigungsfrist.

Mit freundlichen Grüßen
Ihr Support

 

Die E-Mails können in den Texten, Inhalt und Betreff variieren. Also vorsichtig und keine Anhänge (Abrechnung.zip, Rechnung.zip) von unbekannten Absenden öffnen.

Wie entferne ich den Verschlüsselungs-Trojaner?

Starte einen vollständigen Scan mit dem Programm „Malwarebytes Anti-Malware“. Die Software kann hier heruntergeladen werden:

Download Malwarebytes Anti-Malware

Nach dem download installiere das Programm und führe einfach ein Quick-Scan durch und entferne die gefunden Trojaner. Danach zur Sicherheit nochmal ein Full-Scan durchführen.

Dann kommen wir mal zum Entschlüssen der Dateien. Die ersten Tage gab es noch kein Tool dafür und AV-Hersteller haben noch daran gearbeitet. Mittlerweile gibt es einige Tools dafür.

Wie entschlüssele ich meine Dateien?

Ich persönlich hab bisher mit dem Programm „Avira Ransom File Unlocker“ alle verschlüsselte Dateien wieder hergestellt. Die Software ist einfach zu bedienen, bringt die Windows Beispielbilder mit und führt den Entschlüsselungsvorgang schnell durch.

Den Avira Ransom File Unlocker kann man am Ende des Artikels herunterladen.

Hinweis! Zum entschlüsseln der Dateien, muss der Schlüssel erst erzeugt werden. Dafür benötigen die Entschlüsselung-Tools eine Original-Datei und eine locked-Datei.

Auf der Seite trojaner-board.de findet man noch weitere Entschlüsselung-Tools die man ausprobieren kann falls der Avira Ransom File Unlocker nicht funktioniert.

Diese finden man hier.

Zusätzlich noch den Hinweis! Immer ein Backup anlegen der Dateien und es am Anfang nur mit ein paar Dateien ausprobieren. Erst wenn das erfolgreich verläuft, kann man alle Dateien entschlüsseln. Den Rechner zwischen Schlüssel-Generierung und Entschlüsselungsvorgang nicht Neustarten.

Quellenangaben: trojaner-board.de

 

Schreibe einen Kommentar


banner