Frankfurt, 21. Januar 2015

Der IT-Sicherheitsspezialist Doctor Web warnt seine Anwender vor einem massenhaften Versand von E-Mails, über die ein Download-Trojaner verbreitet wird. Der Schädling soll den Verschlüsselungstrojaner Trojan.Encoder.686 herunterladen und starten. Trojan.Encoder.686 stellt für Anwender eine ernsthafte Gefahr dar, weil die Dekodierung von durch Trojan.Encoder.686 verschlüsselten Benutzerdateien zur Zeit nicht möglich ist.

Der Download-Trojaner, der in der Dr.Web Virendatenbank unter dem Namen Trojan.DownLoad3.35539 geführt wird, verbreitet sich über Massen-Mails als ZIP-Anhang. Die Sicherheitsanalysten von Doctor Web haben Fälle entdeckt, in denen solche E-Mails in verschiedenen Sprachen, u.a. in der englischen, deutschen und georgischen Sprache, verbreitet wurden.

Das Archiv enthält eine SCR-Datei. Dazu gehören z.B. Screensaver für Windows. Solche Dateien stellen ausführbare Dateien dar, d.h. beim Starten der Datei aus dem Archiv extrahiert, öffnet und speichert Trojan.DownLoad3.35539 eine RTF-Datei auf dem anzugreifenden PC.

Gleichzeitig stellt Trojan.DownLoad3.35539 eine Verbindung zu einem Server der Übeltäter her, lädt ein Archiv mit CTB-Locker, entpackt es und startet den Schädling. Nachdem sich der Schädling auf einem infizierten PC ausgebreitet hat, verschlüsselt Trojan.Encoder.686 Benutzerdateien und meldet sich am Bildschirm mit einer Kurzmitteilung.

Die Übeltäter geben Anwendern nur 96 Stunden Zeit und drohen an, bei Nichtbezahlung des Lösegeldes ihre verschlüsselten Dateien zu vernichten. Für weitere Informationen sollen sich die Anwender bei TOR anmelden.

Trojan.Encoder.686 ist ein TOR- und OpenSSL-basierter Schädling. Bei der Verschlüsselung von Benutzerdateien nutzt er die CryptoAPI, um zufällige Daten einzuholen und eine elliptische Kryptographie zu gewährleisten. Die Dekodierung von verschlüsselten Benutzerdateien ist daher zur Zeit nicht möglich.

Die Sicherheitsanalysten von Doctor Web rufen alle Anwender auf, bei der Arbeit mit E-Mails höchste Vorsicht walten zu lassen und verdächtige E-Mails nicht zu öffnen. Es macht außerdem Sinn, eine Datensicherung vorzunehmen.

Dr.Web Security Space 9 und 10 ist darüber hinaus mit Komponenten ausgerüstet, mit denen eine automatische Sicherung von wertvollen Daten vorgenommen und der Schutz vor Verschlüsselungstrojanern sowie anderer Malware gewährleistet werden kann.

Um dem Datenverlust vorzubeugen, nehmen Sie bitte folgende Schritte vor:

1. Stellen Sie sicher, dass die Option Präventivschutz in Dr.Web Security Space (Version 9 und 10) aktiviert ist. Damit beugen Sie dem Eindringen von unbekannten Schädlingen in Ihr Betriebssystem vor.

   

2. Aktiviren Sie die Option Schutz vor Datenverlust im Bereich Tools und nehmen Sie die Einstellungen zur Datensicherung vor.

   

3. Erstellen Sie eine Sicherungskopie Ihrer wertvollen Daten und aktivieren Sie das Speichern von Daten nach dem für Sie bequemsten Zeitplan.

   

Diese Schritte und Ihre Vorsicht bei der Arbeit mit E-Mails helfen Ihnen dabei, Ihr Betriebssystem vor aktuellen Bedrohungen einschließlich Verschlüsselungstrojanern zu schützen.