Windows Verschlüsselungs-Trojaner in neuer Version

Der Windows Verschlüsselungs-Trojaner ist weiterhin aktiv und mittlerweile taucht dieser in neuer Version auf. Seine Macher aktualisieren und verbessern leider den Windows Verschlüsselungs-Trojaner weiter um das entschlüsseln der Daten zu erschweren bis unmöglich zu machen.

Die Verschlüsselung hat sich zu der Vorgängerversion deutlich geändert und auch das Format der Dateien nach der Verschlüsselung. Die ersten Versionen haben die Daten und Dateien im Format „locked-Original Dateiname.Typ.1234“ geändert. Die neueren Version hingegen benennen die Dateien im Format „RxoYdJptaAoQVvpjnED“ um. Hierbei wird der Original Dateiname und Dateityp komplett entfernt, was es auch schwieriger macht zu wissen um welche Datei (Bilder, Musik, Dokumente, usw.) es sich handelt.

Wenn man sich damit infiziert hat bekommt man diese Meldung angezeigt:

Verschlüsselungs-Trojaner (Screenshot)

Verschluesselungs-Trojaner

Die Abbildung ist ähnlich. Als Zahlungsmöglichkeit bietet die neue Version Ukash und Paysafe an und verlängt für das entschlüsseln der Daten 100 Euro statt wie vorher 50 Euro. Der Text im Fenster ist wie folgt:

Willkomen bei Windows Update

Sie haben sich mit einen Windows-Verschlüsselungs Trojaner infiziert.

Aus Sicherheitsgründen wurde Ihr Windowssystem blockiert. Das Besuchen von Seiten mit pornografischen und infizierten Inhalten hat dazu geführt. das Ihr System von einem Computerverschlüsselungstrojaner befallen wurde. Dieses Virus verschlüsselt Ihre Festplatte mit einem 256 Bit AES Schlüssel und eine selbstständige Entschlüsselung ist nicht mehr machbar. Um das System wiederherstellen zu können. müssen Sie ein zusätzliches Sicherheitsupdzue herunterladen. Dieses Update ist ein kostenpflichtiges Upgrade für infizierte Windowssysteme. Kostenpflichtig ist es. weil es nicht zum ursprünglichen Windowspaket gehört und nur dafür entwickelt wurde um Ihnen zu helfen Ihre Daten nicht zu verlieren. Bitte schalten Sie Ihren Computer nicht aus, sonst kann es vorkommen das der Virus nicht beseitigt werden kann und Sie Ihre Daten komplett verlieren. Dieses Update beschützt Ihr System vollständig von Virus und Schadmwrzunmen, stabilisiert Ihr Computersystem und verhindert den Datenverlust.

Damit Ihr Computer schnellstens entsperrt wird. nutzen Sie bitte die schnelle und diskrete Zahlungsmöglichkeit Paysakcard oder Ukash. Diese Karten können Sie an fast jeder Tankstelle öder einen Kiosk in Ihrer Nähe kaufen. Diese Codes gibts auch überall da. wo Sie Handyaufladekarten erwerben können. Sofort nach der Eingabe und der Gültigkeitsprüfung wird das Update auf Ihren Computer automatisch heruntergelzulen und installiert. Ihr System wird sofort entschlüsselt und von dem Trojaner befreit. Bitte zahlen Sie das Sicherheit-Update mit einem einzigen Ukash oder Paysafecard Code in passender Höhe sonst kann Ihre Zahlung nicht korrekt bearbeitet werden.

Bitte bevorzugen Sie die Ukash Bezahlm-ethode. Die Prüfung der Paysafecard kann bis zu 6 Stunden in Anspruch nehmen.
Notieren Sie sich sofort folgende Email: securitycenter@inbox.lt. falls Ihr System zusammenbricht und eine automatische Virensuche nicht mehr möglich ist. können Sie das Update auch per Email erwerben und Ihre Daten retten. Senden Sie dafür den gekauften 100 Euro Ukash Code an die genannte E-Mail Adresse. Sie erhalten umgehend das Update Programm zugeschickt.


Wie bekommt man den Windows Verschlüsselungs-Trojaner?

Aktuell bekommt man den Windows Verschlüsselungs-Trojaner über Spam-Mails. Diese wenden sich an den Empfänger mit den Inhalt, das man eine Kauf oder Vertrag abgeschlossen hat in einen Onlineshop. Teilweise sind auch Mahnungen unter den Spam-Mails. Die Onlineshops gibt es in den meisten Fällen wirklich, ggf. stimmen einige Daten davon nicht, wie zum Beispiel Postleitzahl und Ort. Dennoch weißen alle Mails darauf hin in der Anlage findet man weitere Details zum Kauf oder Vertragsabschluss, sowie die Möglichkeit dies wieder zu stornieren. Und genau da ist der Windows Verschlüsselungs-Trojaner versteckt. Im Anhang der E-Mail.

Die Anlagen variieren zwischen „Rechnung.zip“, „Mahnung.zip“, „Abrechnung.zip“, „Lieferschein.zip“, „Anmeldung.zip“, „Abmeldung.zip“ usw.
In den neueren Spam-Mails ist die Anlage sogar ein Passwort geschütztes Zip-Archiv um den Virus vor einen Virenscanner und deren Erkennung zu schützen. Der Absender begründet dies aus Sicherheitsgründen, teilt aber das Passwort direkt in der Mail gleich mit.

Was macht der Windows Verschlüsselungs-Trojaner wenn dieser aktiviert wird?

Nach öffnen des E-Mail Anhangs wird der Trojaner aktiviert. Eventuell erscheint noch eine Fehlermeldung das es sich um das falsche Dokument Format handelt.
Danach installiert sich der Windows Verschlüsselungstrojaner und nistet sich in das Windows Verzeichnis „C:\Windows\System32\“ und in das Benutzer Verzeichnis mit einen zufälligen generierten Namen wie etwa „ACFE45DB32AD.exe“ ein. Die Original Datei wird danach gelöscht.
Zusätzlich werden diverse Autostart Keys in der Registry eingetragen, damit der Trojaner beim Windows Start automatisch mit startet.

Bei aktiver Internetverbindung fängt der Windows Verschlüsselungs-Trojaner an, mit diversen Servern der „Erpresser“ im Internet, Daten wie eine vermutliche Installationskennung, Windows Version, Länderkennung, Version des Trojaners usw. zu übermitteln. Als Antwort bekommt der Trojaner vermutlich das Bild für den Windows Start und eventuell auch einen Schlüssel für die Verschlüsselung.
Erst nach diesem Datenaustausch beginnt der Windows Verschlüsselungs-Trojaner mit dem Verschlüsseln der Dateien.

Wie entfernt man den Windows Verschlüsselungs-Trojaner vom System?

Am besten man nutzt eine Notfall-CD (Rescue-Disk) von den Herstellern Kaspersky oder Bitdefender. Downloaden kann man diese hier:

Kaspersky Rescue-Disk
Bitdefender Rescue-Disk

Weitere Hinweise zur Erstellung und Benutzung der CD findet man auf der Herstellerseite.

Ich selbst hab mit beiden Notfall-CDs gute Erfahrungen gemacht und man kann damit schnell mal ein System von vielen Plagegeistern bereinigen. Als nächsten Schritt empfehle ich das System mit Malwarebytes Anti-Malware, SUPERAntiSpyware und Spybot – Search & Destroy durchzuscannen. Downloaden kann man diese hier:

Malwarebytes Anti-Malware
SUPERAntiSpyware
Spybot – Search & Destroy

Wie stellt man die Verschlüsselten Dateien wieder her?

Aktuell gibt es keine Möglichkeit mit einem Entschlüsselungsprogramm die verschlüsselten Daten bzw. Dateien im Format „AfvgHjKOrgtAdF“ wiederherzustellen. Es gibt nur für die ersten Versionen des Windows Verschlüsselungs-Trojaners, der die Dateien im Format „locked-Original Dateiname.Typ.1234“ verschlüsselt hat, diverse Tools wie den „Avira Ransom File Unlocker“ oder „Kaspersky RannohDecryptor“ zum Entschlüsseln.

Einen Leitfaden zum Daten Wiederherstellen nach dem Verschlüsselungstrjaner finden Sie hier:

Verschlüsselungstrojaner: Daten-Rettung-Wiederherstellung nach Verschlüsselung

Quellenangaben: trojaner-board.de, delphipraxis.net

 

1 Kommentar Schreibe einen Kommentar

  1. hallo nun bei mir sind Daten verschlüsselt worden von dem neuen Virus mit file is enentgrypt in einigen Bildern und word Dokumenten oder allgemein in einigen dokumentn bei mir auf dem pc wenn ihr ein entschlüsselungsprogramm habt wäre es sehr nett mir eines zukommen zu lassen
    mfg
    Siegfried

     

Schreibe einen Kommentar


banner