Ukash/Paysafe-Trojaner verschlüsselt Dateien

[Christoph]

Zitat:

Der Ukash/Paysafe-Trojaner sperrt Windows-Rechner unter dem Vorwand, dass es sich um Raubkopien handle; für die Freigabe verlangen die unbekannten Täter zwischen 50 und 100 Euro. Doch anders als die Vorgänger verschlüsseln aktuelle Versionen des Trojaners auch Dateien, deren Inhalt auch nach einer Reinigung nicht ohne weiteres wieder zugänglich ist. Diverse Tools helfen bei der Entschlüsselung.

Es handelt sich ganz offenbar um ein weit verbreitetes Problem; allein bei der Kreispolizeibehörde Rhein-Sieg-Kreis sind in den letzten Tagen über 30 Anzeigen zu diesem Lösegeld-Trojaner eingangen – bundesweit dürften tausende Anwender betroffen sein.

Die verschlüsselten Dateien tragen einen Name der Form locked-.<Dateiname>.<4 zufällige Zeichen>. Sie lassen sich zwar mit speziellen Tools wieder herstellen. Das Anti-Botnet-Beratungszentrum empfiehlt dazu Tools von Avira und Dr.Web; im Forum der Initiative Botfrei.de und bei Trojaner-Board werden weitere diskutiert. Das Problem ist jedoch, dass es bereits mehrere Versionen des Schädlings gibt. Bis jetzt ist nicht ganz klar, welche Tools die Dateien welcher Trojaner-Versionen entschlüsseln können.

Der beste Tipp ist somit, die verschlüsselten Dateien alle zu sichern und anschließend zu versuchen, Kopien der Dateien zu entschlüsseln. Eventuell lohnt es sich auch, ein wenig zu warten, bis sich die aktuelle Aufregung ein wenig gelegt hat und die AV-Hersteller komplette und einfach zu bedienende Tools für die Entschlüsselung der Dateien liefern. (ju)

Quelle: http://www.heise.de/newsticker/meldu...n-1573945.html

[The_Lord_of_Midnight]

Die beste Hilfe ist in solchen Fällen wie schon so oft ein regelmäßiges Backup.

[nordbahnfredi]

Verschlüsselt der Trojaner nur Daten am C-Laufwerk oder auf allen Laufwerken?

[Christoph]

Scheint´s auf allen Platten, siehe
http://blog.botfrei.de/2012/05/betru...lungstrojaner/ unter Nidoo.

[nordbahnfredi]

Zitat:

Zitat von Christoph

Scheint´s auf allen Platten, siehe
http://blog.botfrei.de/2012/05/betru...lungstrojaner/ unter Nidoo.

Das würde bedeuten ALLE Daten im A.....?
Na servas, eine bekannte hat mich angerufen was sie machen soll, hat diese mail mit den angeblichen tausenden von schulden geöffnet. Was tun ....?

[Christoph]

Sie soll, wenn sie noch in´s Internet kommt, die Links im ersten Posting ansehen und ggf. durcharbeiten, da wird Hilfe geboten.

In allen Links werden Tools genannt und eine Vorgehensweise erläutert, siehe dort.

Wenn ein Backup, vor dem Befall, vorhanden ist, dieses zurückspielen.

[Christoph]

Zitat:

Polizei warnt per Facebook vor Trojaner

Die Polizei Hannover warnt per Facebook vor der neuesten Variante des Ukash/Paysafe-Trojaners. Mittlerweile ermittle man in rund 35 Verfahren wegen "versuchter Erpressung mittels Trojanern" gegen unbekannte Täter.

Derzeit kurisieren Mails mit der Betreff-Zeile "BKA erdrückende Akte gegen ...", die aber nicht von offizieller Stelle stammen. Das stellte das BKA stellte am Freitagabend in Wiesbaden klar. Die Kriminalpolizei rät zu pragmatischen Vorsichtsmaßnahmen, um kein Opfer zu werden: nie Anhänge zweifelhafter E-Mails öffnen, sondern sofort als Spam markieren oder löschen; einen aktuellen Virenscanner nutzen und Software-Updates einspielen. Befallene Anwender sollen sich auf keinen Fall auf den Erpressungsversuch einlassen, sondern die Polizei kontaktieren.

Offenbar ziehen die Erpressungs-Trojaner immer weitere Kreise. Dabei ist die Masche eigentlich alt: Ältere Varianten behaupteten unter anderem, im Auftrag der GVU oder gar des Bundeskriminalamts zu handeln. Stets wird auf ein schlechtes Gewissen des Anwender spekuliert: Auf dem Rechner sei illegale Software, geklaute Musik oder gar Kinderpornografie gefunden worden. Zugriff auf den PC werde erst nach der Zahlung einer "Strafe" wiederhergestellt, die über ein Payment-System wie Paysafe oder Ukash zu bezahlen sei.

In Wirklichkeit bewirkt eine Bezahlung natürlich nichts; der Rechner bleibt gesperrt. Echte Abhilfe bringen nur beherzte Eingriffe über den abgesicherten Modus oder spezialisierte Säuberungswerkzeuge, die man etwa über das Anti-Botnet Beratungszentrum oder direkt bei diversen AV-Herstellern findet.

Die jüngste Auflage des Ukash/Paysafe-Trojaners zieht die Daumenschrauben fester an als seine Vorgänger. Aktuelle Versionen der Malware geben sich als "Microsoft Windows Lizenzierung" aus: Die Windows-Lizenz sei illegal oder abgelaufen, deshalb seien alle Dateien verschlüsselt worden. Im Folgenden türmen sich die Lügen: Die Festplatte sei "mit PGP-RSA verschlüsselt" worden, Entschlüsselungsversuche auf eigene Faust seien strafbar, man müsse den Computer unbedingt eingeschaltet lassen und weiterer Unsinn.

Stimmen tut nur eines: Der Trojaner verschlüsselt die Dateien auf der Festplatte – allerdings nicht die komplette Platte, sondern dateiweise und nach einer relativ simplen Methode. Für diesen Vorgang braucht der Trojaner jedoch Zeit; damit erklärt sich auch die Aufforderung, den Computer nicht auszuschalten. Angesichts des Verhalten des Trojaners überrascht, dass die Polizei die Fälle nur als Erpressung und nicht zudem auch noch als Computersabotage einstuft.

Bei einigen Versionen des Trojaners lassen sich die Dateien mithilfe eines unverschlüsselten Gegenstücks entschlüsseln. Hier helfen unter anderem Werkzeuge von Avira, Dr. Web und Kaspersky sowie der DeCryptHelper von Trojaner-Board.de. Neuere Revisionen des Trojaners verschlüsseln die Dateien allerdings so, dass sie sich bisher nicht wiederherstellen lassen. Man sollte die betroffenen Dateien dennoch auf keinen Fall löschen, sondern sicher aufbewahren – neue Entschlüsselungswerkzeuge sind angeblich in Arbeit.

Aufmerksame Anwender werden bei der Lektüre des Drohbildschirms sofort über diverse Inkonsistenzen und Schreibfehler stolpern. Auch der Umstand, dass der zu zu zahlende Betrag je nach Zahlungs-Provider entweder 50 oder 100 Euro betragen soll, sollte stutzig machen. Hyperventilierende Trojaneropfer sollten besonnen handeln: Schnell den Rechner ausschalten, die Polizei kontaktieren, den derzeitigen Systemzustand zur Spurensicherung und Wiederherstellung über ein Boot-Medium sichern und dann mit viel Sorgfalt beginnen, den Schaden zu beseitigen. Hier können unter anderem die Foren der Initative botfrei.de sowie die Teilnehmer im Trojaner-Board helfen. Vor einer Neuinstallation des Betriebssystems oder einer vorschnellen Formatierung der Platte ist in jedem Fall abzuraten. (ghi)

Quelle: http://www.heise.de/newsticker/meldu...r-1585054.html