28. September 2009

Der russische Sicherheitsspezialist Doctor Web berichtet über eine neue Welle von Trojan.Encoder (Trojan.Encoder.34, 37, 38, 39, 40 und 41). Die Viren & Co. verschlüsseln Daten auf PCs der Anwender und fordern Geldtribut. Die letzten Modifikationen von Trojan.Encoder wurden vom Virenschreiber angefertigt, der sich Korrektor nennt.

Die Varianten dieser Familie verschlüsseln die meisten Daten auf PCs der Anwender und machen sie unbrauchbar. Eine Ausnahme bilden Dateien, die zum System und zu jeweils installierten Programmen gehören. Diese Dateien werden nicht infiziert. Die Übeltäter fordern dabei Lösegeld und versprechen, verschlüsselte Dateien nachher zu entschlüsseln.

Das Besondere an den letzten Varianten von Trojan.Encoder ist es, dass sie Dateierweiterungen ändern. Infizierte Dateien werden um die Endung vscrypt erweitert. Ein Beispiel liefert die Datei pic.jpg, die später in pic.jpg.vscrypt umbenannt wurde.

Trojan.Encoder verbreitet sich zur Zeit per Links zu Malware-Sites in E-Mails. Der Anwender wird aufgefordert, die von Mail.ru zugesendete E-Card zu öffnen. Beim Öffnen der entsprechenden Seite taucht ein Codec auf, das sich als Trojaner erweist.

Nachdem Trojan.Encoder Dateien verschlüsselt hat, zeigt er auf dem Desktop eine Meldung an, dass Ihre Dateien verschlüsselt sind, und gibt dabei Kontaktdaten des Übeltäters an. Nachfolgend finden Sie typische Bilder, die der Schädling ausgibt.

Der technische Support von Doctor Web erhält täglich vielerlei Support-Anfragen mit Symptomen, von denen man auf diese Malware schließen kann. Die Gesamtzahl der Opfer kann aber auch höher sein. Die Anwender, die Dr.Web Antivirenlösungen benutzen, sind gegen diese Bedrohung sicher geschützt.

Wir haben bereits im September, Oktober und Dezember 2008 über andere Varianten des Schädlings (Trojan.Encoder.33, Trojan.Encoder.20 и Trojan.Encoder.19) berichtet. Die meisten Modifikationen von Trojan.Encoder bieten dem Anwender die Entschlüsselung gegen 10 bis 89 US-Dollar an.

Der Sicherheitsexperte Doctor Web fordert alle Anwender auf, das Lösegeld nicht zu zahlen. Außerdem müssen die Anwender ihr Betriebssystem nicht neu installieren bzw. eine Backup-Kopie nicht verwenden. Sie müssen nur den technischen Support von Doctor Web kontaktieren bzw. den entsprechenden Forumbereich besuchen. Zur Entschlüsselung von Daten können Sie auch spezielle Tools benutzen. Der Zugriff auf diese Tools erhalten die Anwender auf Anfrage. Dabei müssen Sie dem technischen Support einige Muster der von Trojan.Encoder verschlüsselten Dateien zusenden.