Maßnahmen gegen einen neuen Lösegeld-Trojaner der eine 2048-Bit-PGP-RSA Verschlüsselung der Festplatte reklamiert

Zusammenfassung

Diese Art von Lösegeld-Trojaner wird von einer anderen Malware eingeschleust oder wird aus dem Internet heruntergeladen. Der Trojaner meldet sich über eine Nachricht und informiert den Anwender, dass sein System gesperrt wurde. Um es wieder zu entsperren, muss der Benutzer eine gewisse Summe Geld zahlen.

Die folgende Meldung erscheint, wenn der Trojaner ausgeführt wird:

ransom trojan lockscreen
 

Der Lösegeld Trojaner behauptet, dass alle lokalen Dateien mit einem 2048 PGP Key verschlüsselt wurden.
In Wirklichkeit ist es eine RC4-Verschlüsselung, die mit Hilfe der Originaldateien (aus einer Sicherung oder einer anderen Quelle) wieder entschlüsselt werden kann.

Trojaner Verhaltensanalyse

Der Trojaner wird von einer anderen Malware eingeschleust oder beim Herunterladen auf einer bösartigen Webseite.

Er legt eine Kopie von sich selbst im folgenden Ordner an:

C:\WINDOWS\system32\%random%.exe

Danach macht der Lösegeld-Trojaner folgende Änderungen in der Registrierung des Systems:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"userinit"="C:\\WINDOWS\\system32\\userinit.exe,C:\\WINDOWS\\system32\\%random%.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "D8812EB1"="C:\\Documents and Settings\\%userprofile%\\Application Data\\%random%\\%random%.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000001 "DisableRegedit"=dword:00000001

Alle lokal vorhandenen Dateien auf dem System werden mit dem RC4-Verfahren gesperrt und erscheinen in der folgenden Syntax:

locked-*Original Dateiname*.*4 zufällige Zeichen*

Bitte klicken Sie auf diesen Link um mehr Informationen über diesen Lösegeldtrojaner zu erhalten.

Lösung

Avira bietet einen Entschlüsselungs-Tool an mit dem Namen "Avira Ransom File Unlocker".

Das „Avira Ransom File Unlocker " Tool wurde in .Net 2.0 geschrieben um die verschlüsselten Dateien des Lösegeld Trojaners mit dem von ihm reklamierten 2048 PGP-Schlüssel wieder zu entschlüsseln. Tatsächlich ist es eine RC4-Verschlüsselung, die mit den verfügbaren Originaldateien (aus einer Sicherung oder einer anderen Quelle) wieder entschlüsselt werden kann.

ransom file unlocker
 

Um einen Datenverlust zu vermeiden, ändert oder löscht das Tool keine der verschlüsselten Dateien. Dies dient zur Sicherheit, falls die Entschlüsselung aufgrund einer neuen Trojaner-Variante nicht mehr funktionieren sollte.

Um die verschlüsselten Dateien zu entsperren, muss der Anwender eine verschlüsselte Datei von der Festplatte auswählen und danach die Originaldatei der ursprünglichen Version auswählen.

Damit das Tool richtig funktioniert, ist es zwingend notwendig, dass die ursprüngliche Version der Datei eine exakte Kopie der verschlüsselten Datei ist, noch bevor die Infektion des Trojaners stattgefunden hat.

Update mit Version 1.0.1:
Eine Fehlermeldung wird nun erscheinen, falls Sie 2 verschlüsselte oder entschlüsselte Dateien jeweils zu "Verschlüsselte Datei" und "Original Datei" hinzugefügt haben.

Avira Ransom File Unlocker herunterladen

Betroffene Produkte

  • Avira Professional Security [Windows]
  • Avira Free Antivirus [Windows]
  • Avira Antivirus Premium 2013 [Windows]
  • Avira Antivirus Suite [Windows]
  • Avira Internet Security [Windows]
  • Avira Professional Security, Version 2012 [Windows]
  • Avira Internet Security Suite [Windows]
  • Avira Family Protection Suite [Windows]
  • Avira Ultimate Protection Suite [Windows]
  • Avira Antivirus Premium, Version 2012 [Windows]
  • Avira Internet Security, Version 2012 [Windows]
  • Erstellt : Freitag, 27. April 2012
  • Zuletzt aktualisiert: Montag, 14. Oktober 2013
  • Diesen Artikel bewerten
War das hilfreich?