ACHTUNG! Trojaner verschlüsselt alle Dateien!

Internet Cyber Leaks

ACHTUNG! Trojaner verschlüsselt alle Dateien!

Trojaner RAPID verschlüsselt alle Dateien!

Wie heise.online und mimikama.at berichten, ist seit kurzer Zeit ein Erpressungstrojaner Namens RAPID entdeckt worden. Es handelt sich um einen so genannten Verschlüsselungs- oder Kryptotrojaner. Der Begriff leitet sich aus dem Englischen Ransom (Lösegeld) ab.  Der Verschlüsselungstrojaner RAPID verbleibt beständig auf einmal infizierten Windows-Computern und verschlüsselt stetig neu erstellte Dateien vom Fleck weg. In der Regel löscht sich Ransomware selbstständig, wenn sie ihr Schadenswerk beendet hat.

Seit Anfang Januar soll RAPID unterwegs sein und die PC´s infizieren, auf welchen Weg dies geschieht ist bis dato noch nicht bekannt.





Hat sich ein Kryptotrojaner erst mal auf einem Rechner eingenistet, verschlüsselt er nach einem aussschließlich ihm bekannten Algorithmus jede Datei, die er auf der Festplatte findet. Ob „Office“-Dokument, Bild oder E-Mail, vor einem Kryptotrojaner ist kein Format sicher. Binnen kurzer Zeit erscheint dann ein Erpresserschreiben auf dem Bildschirm, das den betroffenen User zur Zahlung eines Lösegelds auf ein anonymes Konto via Paypal oder Bitcoin auffordert – so besteht keine Möglichkeit, die Spur bis zum Erpresser zurückzuverfolgen. Bislang bekannte Varianten löschen sich nach vollbrachter „Tat“ eigenständig vom System.

Allerdings konnte man bei Malware dieser Art bislang durch Einspielen von Sicherheitskopien zumindest einige Dateien wiederherstellen oder neu erstellen.

Wie das Internetportal BleepingComputer berichtet, geht RAPID aber noch einen Schritt weiter und wird dadurch gefährlicher.

Der „Infektionsweg“ von RAPID ist derzeit nicht genau bekannt. Üblicherweise gelangt Ransomware auf demselben Weg ins System wie die meisten Schadprogramme: Durch infizierte E-Mail-Anhänge oder Sicherheitslücken im Browser. Das Tückische an RAPID: Hat er alle greifbaren Dateien verschlüsselt, nistet er sich, anstatt sich zu löschen, in der Autostart-Datei von Windows ein, fährt also quasi bei jedem Neustart des Computers mit hoch und setzt sein Zerstörungswerk umgehend fort.





Das bedeutet, dass RAPID jede neu erstellte Datei umgehend verschlüsselt und so die Arbeit am befallenen Rechner unmöglich wird. Der Trojaner löscht Sicherheitskopien und Wiederherstellungspunkte, beendet Datenbankprozesse und ersetzt jede Dateiendung durch „.rapid“ wodurch die Datei unlesbar wird. Anschließend wird in jedem Ordner sowie auf dem „Desktop“ eine Dateien namens How Recovery Files.txt erstellt, die die „Lösegeldmodalitäten“ enthält.

Wer sich infiziert hat, sollte den Schädling schleunigst aus dem Autostart verbannen. Unter Windows 10 gelingt das direkt aus dem Task Manager über den Autostart-Reiter. Problematisch dabei ist es den Schädling zu identifizieren, laut Bleepingcomputer.com variiert der Name der ausführbaren Datei.

Derzeit gibt es kein kostenloses Entschlüsselungstool. Unklar ist auch, wie hoch das Lösegeld ausfällt und ob die Erpresser den Schlüssel nach einer Zahlung überhaupt rausrücken.

Genaue Hinweise über Art und Weise des Verschlüsselungstrojaners RAPID und dessen weitere Verbreitung und Möglichkeit zur Entfernung findet man auf der Webseite von Bleepingcomputer.com

Quelle Text auszugsweise:Heise.de/Mimikama.at


Erpressungstrojaner PETYA entschlüsselt

Tags :

Category : allgemein

Wie das Fachblatt Heise.de mitteilt ist der gefürchtete Erpressungstrojaner PETYA entschlüsselt. Wer durch PETYA einen infizierten PC besitzt und sich bisher nicht mehr weiter helfen konnte, als der Erpressung nach zu geben, kann nun  mit Hilfe eines Entschlüsselungs Tools seinen PC von diesem gefährlichen Trojaner befreien.




Der Troyaner Petya wird per E-Mail versendet und tarnt sich als deutschsprachiges Bewerbungsschreiben, Hauptzielgruppe sind Personalabteilungen von Firmen im deutschsprachigen Raum. Ein Link zu Dropbox, der angeblich auf die Bewerbungsmappe verweist, führt zu einem Archiv, das zwei Dateien enthält: ein JPG-Foto des vermeintlichen Bewerbers und eine ausführbare Datei mit dem Namen „Bewerbungsmappe-gepackt.exe“. Jetzt scheint aber endlich Rettung in Sicht.




Ein unbekannter Twitterer mit dem Synonym Ieostone hat angeblich den Entschlüsselungscode geknackt. Mit seinem auf  der Webseite Github veröffentlichten kostenlosen Toolhack PETYA soll sich das zum Entschlüsseln nötige Passwort in Sekunden generieren lassen. Alternativ können Opfer den Prozess auch auf einer von leostone aufgesetzten Webseite durchführen. Diese alternative Webseite findet man hier.

PETYA

Eine ausführliche Beschreibung der Reinigung und Beseitigung des Trojaners findet man auf heise.de. Dort werden auch alternative Methoden zum generieren des Entschlüsselungscodes wie zum Beispiel dem Download von dem vom Sicherheitsforscher Fabian Wosar entwickelten Tool Petya Sector Extractor aufgelistet, das die benötigten Werte auf Knopfdruck ausliest. Diese Variante wird hier als zip. Download angeboten.

Für die Funktionsfähigkeit und Wirksamkeit des auf dieser Plattform  aufgetauchten Tools gebe es bereits Erfolgsberichte von mehreren Opfern. Deshalb auch noch hier noch einmal die eindringliche Warnung, keine Anhänge von unbekannten oder nicht angeforderten Nutzermails öffnen oder downloaden. Desweiteren kann man sich auch, sollte man keinen der oberen Links nutzen, die schrittweise Bereinigung seines PC auf youtube zeigen lassen. Hier gibt es eine Schritt für Schritt Anleitung zur einfachen Beseitigung des Trojaners bzw. zur Generierung des Entschlüsselungscodes des Petya Trojaners.




Quellen: Text+Bild: Heise.de / sz-online / screenshot: https://youtu.be/JtzvMM8n3A8

Live Search

Blog