Frankfurt, 25. November 2014

Der IT-Sicherheitsspezialist Doctor Web entwickelte einen Dekodierungsalgorithmus für Anwender, die durch Trojan.Encoder.398 zu Schaden gekommen sind. Dank diesem Algorithmus können verschlüsselte Dateien in 90% der Fälle wiederhergestellt werden. Doctor Web ist zur Zeit das einzige Unternehmen, das solche Dateien dekodieren kann.

Der Verschlüsselungstrojaner Trojan.Encoder.398 ist auf Delphi geschrieben und stellt eine verbesserte Version von Trojan.Encoder.225 dar. Die Schlüssel für die Kodierung von Dateien werden von Trojan.Encoder.398 über einen Server der Übeltäter bezogen. Nachdem sich der Trojaner auf dem anzugreifenden Rechner ausgeführt hat, kopiert er sich in eines der Systemverzeichnisse mit dem Namen ID.exe, in denen die ID eine Seriennummer der Festplatte ist. Des Weiteren zeigt Trojan.Encoder.398 eine Meldung über das beschädigte Archiv an und startet seine Kopie, die eine Seriennummer der Festplatte an den Server von Cyber-Kriminellen übermittelt. Anschließend holt sich der Schädling XML-Konfigurationsdaten mit Verschlüsselungsparametern wie E-Mail-Adresse, Schlüssel, Nummer des Algorithmus sowie Teile der Erweiterung für verschlüsselte Dateien. Danach fängt die Verschlüsselung an.

Zurzeit sind den Sicherheitsanalysten von Doctor Web mehrere Modifikationen von Trojan.Encoder.398 bekannt, die bis zu 18 verschiedene Verschlüsselungsalgorithmen verwenden können. Der Trojaner kann Dateien mit folgenden Endungen verschlüsseln: .odt, *.ods, *.odp, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpeg, *.arw, *.dng, *.3fr, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.p12, *.p7b, *.pdf, *.p7c, *.pfx, *.odc, *.rar, *.zip, *.7z, *.png, *.backup, *.tar, *.eml, *.1cd, *.dt, *.md und *.dds.

Zur Kontaktaufnahme verwenden die Übeltäter folgende E-Mail-Adressen: mrcrtools@aol.com, back_files@aol.com, backyourfile@aol.com, vernut2014@qq.com, yourfiles2014@yahoo.com, restorefiles2014@yahoo.fr, filescrypt2014@foxmail.com usw.

Bis vor kurzem galt die Dekodierung von durch Trojan.Encoder.398 verschlüsselten Dateien als unmöglich. Die Sicherheitsanalysten von Doctor Web haben jedoch während ihrer Forschungen neue Algorithmen zur Dateientschlüsselung entwickelt. Diese Forschungen trugen Früchte: Doctor Web ist heute das einzige Unternehmen, das in 90% der Fälle die durch Trojan.Encoder.398 verschlüsselte Dateien mit der Erweiterung *.filescrypt2014@foxmail.com_* wiederherstellen können.

In letzter Zeit gibt es immer mehr Angebote für die Dekodierung von verschlüsselten Dateien. Wir stellen aber immer wieder fest, dass die meisten Personen, die solche Services anbieten, sich an den technischen Support von Doctor Web wenden. Wir möchten Sie deshalb darauf aufmerksam machen, dass die Sicherheitsanalysten von Doctor Web die Dekodierung für Besitzer von Dr.Web Lizenzen kostenlos durchführen. Cyber-Kriminelle fordern Lösegeld für Services, die unsere Benutzer gratis beziehen können. Nicht selten übertrifft das Lösegeld den Preis einer Lizenz für Dr.Web Antivirenprodukte, die sich zum Schutz von persönlichen Daten auf Rechnern und mobilen Endgeräten eher lohnen.

Wenn Sie zu den Opfern von Encodern gehören, nehmen Sie bitte folgende Schritte vor:

• Erstatten Sie Anzeige bei der Polizei;
• Unterlassen Sie die Neuinstallation des Betriebssystems;
• Löschen Sie keine Dateien auf Ihrem Rechner;
• Nehmen Sie keine selbständige Wiederherstellung von verschlüsselten Dateien vor;
• Wenden Sie sich bitte an den technischen Support von Doctor Web (dieser Service ist kostenlos);
• Fügen Sie die vom Trojaner verschlüsselte DOC-Datei bei;
• Warten Sie, bis unser Sicherheitsanalyst zu Ihnen Kontakt aufnimmt. Bitte haben Sie ein bisschen Geduld. Dies kann einige Zeit in Anspruch nehmen.

Wir möchten Sie daran erinnern, dass der Dekodierungsservice nur für Besitzer kostenpflichtiger Lizenzen für Dr.Web Produkte verfügbar ist.

Die von unseren Sicherheitsanalysten geleistete Arbeit eröffnet neue Wege bei der Bekämpfung von Verschlüsselungstrojanern und lässt hoffen, dass immer mehr Anwender ihre Dateien in der Zukunft wieder zurückbekommen.

Damit der Trojaner Ihre Dateien nicht vernichten kann, aktivieren Sie die Option Schutz vor Datenverlust

Nur in Dr.Web Security Space 9 und 10

Mehr zu Verschlüsselungs-Trojanern

Was tun, wenn..

Video zur Einstellung

Kostenlose Entschlüsselung