Frankfurt, 5. Februar 2018

Verschlüsselungstrojaner, die auf einem infizierten Rechner Daten verschlüsseln und anschließend Lösegeld für die Dekodierung verlangen, stellen nach wie vor eine ernsthafte Bedrohung dar. Der IT-Sicherheitsspezialist Doctor Web warnt Anwender vor einem neuen Verschlüsselungstrojaner, der sich aktuell breit macht.

Der Trojaner, den seine Entwickler als «GandCrab!» tauften, wurde in die Dr.Web Virendefinitionsdatei als Trojan.Encoder.24384 aufgenommen. Er fügt den verschlüsselten Daten die Erweiterung *.GDCB bei. Zum heutigen Zeitpunkt sind zwei Versionen dieses Encoders bekannt.

Nachdem Trojan.Encoder.24384 auf dem anzugreifenden Rechner unter Microsoft Windows gestartet hat, kann er Informationen zur Anzahl der gestarteten Prozesse von Virenschutzsoftware sammeln. Sobald der Schädling sichergestellt hat, dass er ein zweites Mal nicht ausgeführt wurde, bricht er alle Prozesse gemäß der Liste von Virenschreibern ab. Nachdem er seine Kopie auf einer Festplatte gespeichert hat, modifiziert er einen Zweig des Windows-Registry.

Der Trojaner verschlüsselt Inhalte von internen und externen Datenträgern sowie Network Values außer Verzeichnissen, in denen es Dienst- und Systemordner gibt. Jeder einzelne Datenträger wird in einem separaten Strom verschlüsselt. Nachdem die Verschlüsselung durchgeführt wurde, sendet der Schädling Informationen zur Anzahl von verschlüsselten Dateien sowie zur Zeit, die dafür verwendet wurde.

Der Trojaner verwendet einen Verwaltungsserver. Um dessen Namen herauszufinden, führt der Schädling den Befehl nslookup aus und sucht nach nötigen Informationen in den Suchtreffern.

Zurzeit ist die Dekodierung von Dateien, die durch Trojan.Encoder.24384 verschlüsselt wurden, nicht möglich. Das Team von Doctor Web möchte Anwender daran erinnern, dass die Sicherung aller sensiblen Daten auf externen Datenträgern Ihre Daten retten kann.