Hinweise zum neuen Verschlüsselungstrojaner

[Petra]

Neue Verschlüsselungstrojaner

Deine Beschreibung passt auf einen recht neuen Verschlüsselungstrojaner (Trojan.Matsnu.1). Diese Infektion verschlüsselt Dateien und ändert Namen und Dateiendung nach folgendem Beispiel: “locked-.<4 zufällige Zeichen>”. Die Opfer werden von den Betrügern aufgefordert, einen bestimmten Betrag zu zahlen, damit die Dateien wieder freigeschaltet/entschlüsselt werden. Da es sich um Betrug handelt, selbstverständlich nicht zahlen!


Vorgehensweise:

1. Da es inzwischen verschiedene Versionen des Verschlüsselungstrojaners gibt, bei denen die Entschlüsselung anhand von Paaren nicht mehr funktioniert und die Original-Dateien unbrauchbar werden, ist es sehr wichtig, zunächst möglichst alle verschlüsselten Dateien separat zu sichern, um sie bei evtl. Fehlschlägen für erneute Entschlüsselungs-Versuche zur Verfügung zu haben.


2. Scan mit Malwarebytes' Anti-Malware - Funde nicht löschen!

Lade Malwarebytes Anti-Malware (ca. 10 MB) von hier herunter.

• Anwendbar auf Windows 2000, XP, Vista und Windows 7.
• Installiere das Programm in den vorgegebenen Pfad.
  Vista- und Windows 7 User starten die Installationsdatei per Rechtsklick und wählen "Als Administrator ausführen".
  
  
• Lasse Malwarebytes online über den Reiter Aktualisierung updaten, sofern sich das Programm bereits auf dem Rechner befand.
• Reiter Suchlauf: aktiviere "Vollständigen Suchlauf durchführen" und starte den Suchlauf über den Button Scannen.
• Wähle alle verfügbaren Laufwerke aus und starte den Scan.
  
  
• Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
• Bei Verdacht auf Verschlüsselungs-Trojaner bei allen Funden den Haken entfernen.
  Ansonsten wird eine evtl. später mögliche Entschlüsselung nicht funktionieren.
  Wir werden das Logfile durchsehen und zunächst schauen, ob wir vor dem Löschen der Malware noch Dateien sichern müssen!
  
  
• Poste das Logfile, welches sich in Notepad öffnet in Deinen Thread.
• Nachträglich kannst du den Bericht unter "Logdateien" finden.
• Berichte, wie der Rechner nun läuft.

3. Die verschlüsselten Dateien mit einer der folgenden Alternativen entschlüsseln:

Avira Ransom File Unlocker

Tool von Dr. Web

DecryptHelper von Matthias vom TrojanerBoard
(Tool benötigt Java)

RannohDecryptor.exe von Kaspersky
(bei Kaspersky wird diese Infektion als Trojan-Ransom.Win32.Rannoh bezeichnet)

ScareUncrypt von BitFox

Trustezeb.A Decryptor von ESET

PandaUnransom


Originaldateien:

Zum Entschlüsseln werden Original-Dateien benötigt. Hier steht eine Auswahl von Windows-Bildern zum Download bereit:

Windows XP - Windows Vista - Windows 7

SemperVideo hat ein Video zum Thema erstellt.


Für User, die verschlüsselte Dateien mit der Endung .EnCiPhErEd haben, also mit (Trojan.Ransom.HM, alias Trojan:W32/Ransomcrypt und Trojan.Encoder.94) infiziert sind, steht von BitDefender das Tool Trojan.Ransom.HM-Decrypt_v1.zip zur Entschlüsselung zur Verfügung. Weitere Tools und Details siehe diesen Blogeintrag.



Übrigens ist Vorsicht geboten: Die neuesten Infos deuten darauf hin, dass der Trojaner auf allen angeschlossenen Laufwerken mit Lese-/Schreibrechten sowie auf verbundenen Netzwerken Dateien verschlüsselt. Auf jeden Fall zunächst unbedingt genau prüfen, um welchen Verschlüsselungs-Trojaner es sich handelt, bevor mit der Entschlüsselung begonnen wird.

[Petra]

Nachtrag zur neuesten Variante:

Solltest Du von der ganz neuen Variante betroffen sein, in welcher der Trojaner die Dateien mit einer wirren undefinierbaren Buchstabenreihenfolge ohne Endung verschlüsselt, wie beispielsweise VUVoxyULtjfEGq - DsDNavsOXulrTJegp oder tGsLUyGEfjsLUyxEVjs, sieht es derzeit noch düster aus. Es gibt noch kein Tool zur Entschlüsselung. Hier könnte unter Vista und Windows 7 die Wiederherstellung aus Schattenkopien der letzte Strohhalm sein. Hier findest Du eine bebilderte Anleitung vom Trojanerboard zum Wiederherstellen von Dateien über die Schattenkopien mit dem ShadowExplorer.

Sollte auch das nicht möglich sein, weil die Systemwiederherstellung nicht aktiviert ist oder der Dienst Volumeschattenkopie deaktiviert wurde, gibt es derzeit keine Möglichkeit der Datenrettung. Die Experten arbeiten an Tools zum Entschlüsseln und haben schon herausgefunden, dass u.a. die Seriennummer der Festplatte eine Rolle bei der Verschlüsselung spielt. Aus diesem Grund nutzt bei dieser Variante ein Image oder Backup der Dateien vermutlich eher wenig, weil dabei die Seriennummer der Festplatten nicht gespeichert wird. Auch der Schädling selbst könnte bei der Entschlüsselung eine große Rolle spielen, deshalb sollte derzeit nichts gelöscht werden.

Wir raten daher derzeit bei sehr wichtigen Daten dazu, die Festplatte komplett unberührt zu lassen und auszubauen, diese durch eine neue Festplatte zu ersetzen und Windows auf der neuen Festplatte neu zu installieren. Sollten später Tools herauskommen, die in der Lage sind, die Dateien wieder zu entschlüsseln, kann die alte Festplatte wieder eingebaut werden und die Daten entschlüsselt werden.

[Petra]

Weitere Lösungsansätze

Neben der Möglichkeit einzelne Dateien mit dem SchadowExplorer aus den Schattenkopien (nur Vista und Windows 7) zu restaurieren, gibt es für einige Dateitypen einzelne Lösungsansätze:

• MP3: Bei diesem Dateityp muss nur die Extension angehängt werden.
  Durch Datenstrom und Header/Metainformationen lassen die sich MP3-Dateien weiterhin abspielen (vielleicht ein kurzes Knacken am Anfang).
  Mit dem uralten Tool PropertiesPlus ist das schnell auch für ganze Verzeichnisse gemacht.
  
  Beschreibung:

  Dieses Werkzeug ist eine nützliche Erweiterung des Windows Explorers mit folgenden Eigenschaften:
  
  Änderung der Attribute: Archiv, Schreibgeschützt, System und Versteckt
  Selektierung eines Datums für die Erstellung, Veränderung und des letzten Zugriffes auf eine Datei.
  Umbennen der Dateiendungen (file extensions) selektierter Dateien eines Ordners
  Anzeige der Dateigrösse und des aktuellen Pfades
  
  Nach der Installation erhält das Kontextmenü der rechten Maustaste einen zusätzlichen Eintrag mit dem Menü Properties Plus.
  Man braucht nur noch die gewünschte/n Datei/en zu markieren und mit der rechten Maustaste das Kontextmenü zu aktivieren, um das Programm zu starten.

  Ich habe es unter Windows 7 getestet, läuft einwandfrei.
  Installieren und einfach im Windows-Explorer die gewünschten Dateien markieren.
  Dann Rechtsklick und PropertiesPlus wählen.
  Im Fenster von PropertiesPlus einen Haken bei Extension machen und als Endung mp3 eintragen.
  Ok klicken, das wars.
  Alle markierten bzw. ausgewählten Dateien werden mit der Endung .mp3 versehen und sollten wieder abspielbar sein.
  
  
  
  
  
  
  
• JPG: Reparatur möglich mit JPEGsnoop (nur für Einzeldateien).
  Es gibt auch ein Tool für ganze Verzeichnisse, das befindet sich allerdings noch im Betastadium.
  
  
• PST: Anleitung zur Reparatur von Outlook-.pst-Dateien.
  
  
• Office-Dokumente: Anleitung zur Reparatur von Office-Dokumenten.
  
  
• PDF-Dokumente: Laut Beitrag von Undertaker im TrojanerBoard kann in einigen Fällen Recovery Toolbox for PDF helfen.
  
  
  
• Zusammenfassung vom Trojaner-Board mit weiteren Datenwiederherstellungstools.

Auf jeden Fall sollten Experimente nicht mit den Original-Dateien vorgenommen. Immer vorher die zu entschlüsselnden Dateien in einen neuen Ordner kopieren und dann mit den Dateien aus dem neuen Ordner etwaige Tests mit obigen Programmen durchführen.

[Petra]

Verschlüsselungstrojaner: Letzten Beitrag um einen Lösungsansatz für PDF-Dokumente erweitert.

[Petra]

Beitrag Nr. 3 um die Zusammenfassung von Wiederherstellungstools vom Trojaner Board ergänzt.