Hanau, 13. August 2013

Der IT-Sicherheitsspezialist Doctor Web veröffentlichte als erster das Tool für die Entschlüsselung von Dateien, die durch Trojan.Encoder.252 gesperrt wurden. Die neue Version des Encoder-Trojaners ist vor allem dadurch gefährlich, dass sie Lösegeld für die Entschlüsselung von Benutzerdateien fordert. Dieser Trojaner gelangt auf Rechner der Anwender über Spam-Mails von einem angeblichen Schiedsgericht.

Eine der entdeckten Verbreitungsmethoden dieses Schädlings ist der E-Mail-Versand mit einem Anhang. Nachdem sich der Trojaner gestartet hat, erstellt er seine Kopie in einem der Systemverzeichnisse unter dem Namen svhost.exe, modifiziert den Registry-Zweig, der für das automatische Herunterladen von Anwendungen verantwortlich ist, und führt sich aus.

Trojan.Encoder.252 verschlüsselt Dateien, wenn der Rechner des Opfers über eine Internetverbindung verfügt. Der Schädling umgeht dabei die Datenträger С: bis N: und gelangt an die Liste von Dateien mit den folgenden Erweiterungen: .jpg, .jpeg, .doc, .rtf, .xls, .zip, .rar, .7z, .docx, .pps, .pot, .dot, .pdf, .iso, .ppsx, .cdr, .php, .psd, .sql, .pgp, .csv, .kwm, .key, .dwg, .cad, .crt, .pptx, .xlsx, .1cd, .txt, .dbf. Diese Liste speichert er in einer Text-Datei. Anschließend prüft Trojan.Encoder.252 die Verfügbarkeit seiner Server, an die später die Schlüssel versendet werden. Wenn diese Server nicht verfügbar sind, zeigt der Trojaner eine angebliche Aufforderung des Schiedsgerichtes an, die Interneteinstellungen zu überprüfen. Sollte die Verschlüsselung dem Trojaner gelungen sein, werden Dateinamen um Crypted erweitert. Auf seinem Desktop findet der Benutzer das nachfolgende Bild:

Die IT-Sicherheitsanalysten von Doctor Web haben ein spezielles Tool gegen Trojan.Encoder.252 entwickelt. Um Ihren Rechner mit diesem Tool zu entsperren, müssen Sie über eine leistungsstarke Hardware verfügen. Mit einem Home-PC kann es bis zu einem Monat dauern. Mit einem 24-Kernel-Server kann es aber nur 20 Stunden in Anspruch nehmen.

Wenn Sie zum Opfer von Trojan.Encoder.252 geworden sind, halten Sie sich an die folgenden Regeln:

• Ändern Sie nicht die Erweiterung von verschlüsselten Dateien;
• Nehmen Sie keine Neuinstallation Ihres Betriebssystems vor;
• Sehen Sie von der Reinigung Ihres Betriebssystems ab;
• Starten Sie nicht Dr.Web Tools ohne Beratung mit einem IT-Sicherheitsanalysten;
• Erstatten Sie eine Anzeige;
• Kontaktieren Sie das Virenlabor von Doctor Web, indem Sie uns Ihre verschlüsselte Datei zuschicken. Wir setzen uns mit Ihnen in Verbindung.

Denken Sie auch daran, dass nur Lizenznehmer von Dr.Web diese Dienstleistung in Anspruch nehmen können. Wir raten Ihnen auch, immer eine Backup-Kopie Ihrer Dateien zu haben.