Trojan.Encoder.19 verschlüsselt Daten und verkauft 'Befreiung' für 10 Dollar pro PC

Doctor Web stellt kostenlos Programm zur Wiederherstellung von erpresserisch verschlüsselten Dateien zur Verfügung

Druckfähiges Bildmaterial zur Presse-Meldung:

      

Hanau/Moskau, 14. August 2008

Das Moskauer Security-Unternehmen Doctor Web warnt vor einem neuen erpresserischen Virus-Programmierer, dessen Trojaner bestimmte Dateien auf einem Computer verschlüsselt. Die Malware, in der Dr.Web-Viren-Datenbank unter 'Trojan.Encoder.19' gelistet, legt die Textdatei crypted.txt auf der Festplatte eines infizierten Systems an und bietet dem Benutzer die Entschlüsselung seiner Dateien für 10 US-Dollar an.

Beispiel-Inhalt der Textdatei crypted.txt:

Your files have been encrypted!
The decryption utility costs 10$!
More:
http://decryptor.******
E-mail: decryptor2008@******
ICQ: *******
S/N BF_3-pUChT$+bm5
Do not delete or modify the file!!!

Diese Version des Trojan.Encoder.19 überprüft alle Festplatten-Laufwerke des Rechners und verschlüsselt unter anderem praktisch alle Microsoft Office-Dateien, Datenbanken, mehrere Bildformate, Videos oder komprimierte Files (.jpg, .jpeg, .psd, .cdr, .dwg, .max, .mov, .m2v, .3gp, .asf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .rar, .zip, .db, .mdb, .dbf, .dbx, .h, .c, .pas, .php, .mp3, .cer, .p12, .pfx, .kwm, .pwm, .sol, .jbc, .txt, .p) ohne allerdings angeschlossene Wechsellaufwerke ebenfalls zu durchsuchen.

Security-Spezialisten von Doctor Web haben ein Programm zur Entschlüsselung entwickelt, das unter ftp://ftp.drweb.com/pub/drweb/windows/te19decrypt.exe jedermann kostenlos zum Download zur Verfügung steht.

So kann beispielsweise, wenn die Datei crypted.txt im Hauptverzeichnis von C:\ liegt, über die Eingabe von

te19decrypt.exe c:\

das Dr.Web-Programm zur Entschlüsselung der Dateien in dieser Partition gestartet werden. Nachdem der Decryption-Prozess beendet ist erscheinen entschlüsselte Kopien der verschlüsselten Dateien ohne die .crypt-Dateiendung neben den ursprünglich verschlüsselten.

Sicherheitshalber rät Doctor Web die verschlüsselten Dateien nicht gleich zu löschen sondern den Computer erst ausgiebig im Testlauf zu beobachten. Sollten eine oder mehrere Dateien nicht korrekt entschlüsselt worden seien, so bittet das Sicherheits-Unternehmen die Datei cryted.txt nebst einiger noch verschlüsselter Beispiele an vms@drweb.com per E-Mail zu senden.

 

Weitere Informationen und druckfähiges Bildmaterial zu Dr.Web Antivirus finden Sie hier