(openPR) Die Malwareanalysten von Doctor Web haben einen neuen Encoder unter die Lupe genommen. Aufgrund eines Fehlers im Code ist die Entschlüsselung von Daten in den meisten Fällen nicht möglich.
Der neue Erpressungstrojaner wurde Trojan.Encoder.25129 getauft. Durch den Dr.Web Präventivschutz wird er als DPH:Trojan.Encoder.9 erkannt. Nach seinem Start prüft er den Standort des Benutzers gemäß der IP-Adresse des infizierten Geräts. Laut Plan der Cyber-Kriminellen nimmt der Schädling von der Verschlüsselung Abstand, wenn die IP-Adresse des Gerätes vorgibt, dass sich dieses in Russland, Weißrussland oder Kasachstan befindet, oder in den Einstellungen des Betriebssystems die russische Sprache definiert ist. Aufgrund eines Fehlers im Code verschlüsselt der Schädling jedoch alle Dateien – unabhängig von der IP-Adresse – auf allen infizierten Geräten.
Trojan.Encoder.25129 verschlüsselt den Inhalt der Dateiordner eines aktuellen Benutzers, seines Windows-Desktops sowie von Dienstverzeichnissen wie AppData und LocalAppData. Die Verschlüsselung erfolgt unter Einsatz von Algorithmen AES-256-CBC. Den verschlüsselten Dateien wird die Erweiterung .tron zugewiesen. Dateien mit einer Größe von 30.000.000 Byte (ca. 28.6 MB) werden nicht verschlüsselt. Nach Abschluss der Verschlüsselung erstellt der Trojaner die Datei %ProgramData%\\trig und trägt den Wert «123» ein (wenn eine solche Datei bereits existiert, wird die Verschlüsselung nicht durchgeführt). Anschließend sendet der Encoder seine Anfrage an die Webseite iplogger und zeigt seine Forderung nach Lösegeld an.
Das Lösegeld variiert von 0,007305 bis 0,04 Bitcoins. Nach dem Klick auf HOW TO BUY BITCOIN zeigt der Schädling Instruktionen an, wie man Bitcoins kaufen kann.
Obwohl die Erpresser behaupten, sie könnten den Betroffenen helfen, indem sie ihre Daten entschlüsseln, ist dies wegen einem Fehler im Code des Trojaners in den meisten Fällen nicht möglich.
Dr.Web Nutzer sind gegen den Verschlüsselungsschädling geschützt, weil dieser durch den Dr.Web Präventivschutz erfolgreich erkannt und entfernt wird. Nichtsdestotrotz ist die Sicherung von wichtigen Daten immer empfehlenswert.
Presseinformation
Doctor Web entdeckt neuen Erpressungstrojaner: Infizierte Dateien können nicht wieder entschlüsselt werden
Diese Pressemeldung wurde auf openPR veröffentlicht.
Verantwortlich für diese Pressemeldung:Doctor Web Deutschland GmbH
Sanja Jahn-Willkomm
Platz der Einheit 1
60327 Frankfurt
Tel.: +49 (0)69 / 975 03 139
Fax: +49 (0)69 / 975 03 200
http://www.drweb-av.de/
Sanja Jahn-Willkomm
Platz der Einheit 1
60327 Frankfurt
Tel.: +49 (0)69 / 975 03 139
Fax: +49 (0)69 / 975 03 200
http://www.drweb-av.de/
Über das Unternehmen
Über Doctor Web:
Doctor Web Ltd. ist ein führender, weltweit agierender Hersteller von Antivirus- und Antispam-Lösungen. Das Doctor Web Team entwickelt seit 1992 Anti-Malware-Lösungen und beschäftigt weltweit 400 Mitarbeiter, davon 200 im Research & Development. Doctor Web ist nicht nur Pionier, sondern auch einer der wenigen Anbieter, die ihre Lösungen vollständig innerbetrieblich entwickeln. Das Unternehmen legt großen Wert auf die effektive Beseitigung von Kundenproblemen und bietet schnelle Antworten auf akute Virengefahren. Die umfangreiche Produktpalette von Doctor Web umfasst effiziente Lösungen zur Absicherung von einzelnen Arbeitsplätzen bis hin zu komplexen Netzwerken. Im deutschsprachigen Raum werden die Produkte von der Doctor Web Deutschland GmbH in Frankfurt vertrieben. Zu den weltweit über 120 Mio. Nutzern von Dr.Web gehören Privatanwender, namhafte und international agierende, börsennotierte Großunternehmen, Banken und öffentliche Einrichtungen.
Weitere Informationen finden Sie unter www.drweb-av.de.
Doctor Web Ltd. ist ein führender, weltweit agierender Hersteller von Antivirus- und Antispam-Lösungen. Das Doctor Web Team entwickelt seit 1992 Anti-Malware-Lösungen und beschäftigt weltweit 400 Mitarbeiter, davon 200 im Research & Development. Doctor Web ist nicht nur Pionier, sondern auch einer der wenigen Anbieter, die ihre Lösungen vollständig innerbetrieblich entwickeln. Das Unternehmen legt großen Wert auf die effektive Beseitigung von Kundenproblemen und bietet schnelle Antworten auf akute Virengefahren. Die umfangreiche Produktpalette von Doctor Web umfasst effiziente Lösungen zur Absicherung von einzelnen Arbeitsplätzen bis hin zu komplexen Netzwerken. Im deutschsprachigen Raum werden die Produkte von der Doctor Web Deutschland GmbH in Frankfurt vertrieben. Zu den weltweit über 120 Mio. Nutzern von Dr.Web gehören Privatanwender, namhafte und international agierende, börsennotierte Großunternehmen, Banken und öffentliche Einrichtungen.
Weitere Informationen finden Sie unter www.drweb-av.de.
Pressebericht „Doctor Web entdeckt neuen Erpressungstrojaner: Infizierte Dateien können nicht wieder entschlüsselt werden“ bearbeiten oder mit dem "Super-PR-Sparpaket" stark hervorheben, zielgerichtet an Journalisten & Top50 Online-Portale verbreiten:
Disclaimer: Für den obigen Pressetext inkl. etwaiger Bilder/ Videos ist ausschließlich der im Text angegebene Kontakt verantwortlich. Der Webseitenanbieter distanziert sich ausdrücklich von den Inhalten Dritter und macht sich diese nicht zu eigen. Wenn Sie die obigen Informationen redaktionell nutzen möchten, so wenden Sie sich bitte an den obigen Pressekontakt. Bei einer Veröffentlichung bitten wir um ein Belegexemplar oder Quellenennung der URL.
Weitere Mitteilungen von Doctor Web Deutschland GmbH
Trojaner nutzt Android-Schwachstelle aus und liest WhatsApp-Konversationen
Die Virenanalysten von Doctor Web haben den gefährlichen Trojaner Android.InfectionAds.1 entdeckt und analysiert. Dieser nutzt mehrere Android-Schwachstellen aus, um beliebte Apps wie WhatsApp oder SwiftKey zu infizieren.
Um den Trojaner auf die Geräte zu bekommen, betten Cyber-Kriminelle ihn zunächst in harmlos anmutende Software ein. Doctor Web entdeckte Android.InfectionAds.1 dabei in folgenden Apps: HD Camera, Tabla Piano Guitar Robab, Euro Farming Simulator 2018 und Touch on Girls.
Beim Starten einer der oben genannten Apps extrahier…
Sicherheitslücke im UC Browser und Counter-Strike-Client – der Doctor Web Virenrückblick für März 2019
Die Virenanalysten von Doctor Web konnten im März 2019 zwei signifikante Sicherheitslücken feststellen: Eine betraf den beliebten UC Browser, eine weitere den Counter-Strike-Client 1.6. Darüber hinaus verzeichneten die Sicherheitsexperten insgesamt einen drastischen Anstieg an Malware.
Beispielsweise haben sich die Aktivitäten von Trojan.MulDrop8.60634 fast verdreifacht und auch die Anzahl der Bedrohungen von Trojan.Packed.24060 und Adware.OpenCandy.243 ist im vergangenen Monat signifikant gestiegen. Während Adware.OpenCandy weitere Softwar…
Das könnte Sie auch interessieren:
Doctor Web Virenrückblick für Januar 2017
… funktioniert folgendermaßen: Er erhält Befehle via IRC (Internet Relay Chat) und startet einen FTP-Server. Mit dessen Hilfe lädt der Trojaner seine Kopie auf den infizierten Rechner herunter. Anschließend baut er via Virtual Network Computing (VNC) eine Verbindung zum Arbeitsplatz auf, indem er ein Passwort ermittelt und den Befehlsinterpretator (CMD) …
60.000 infizierte Android-Geräte durch Banken-Trojaner – Der Doctor Web Virenrückblick im April 2018
… Virenanalysten von Doctor Web. Hierbei handelt es sich einerseits um einen Banken-Trojaner, der über 60.000 Android-Geräte infiziert hat. Der zweite Schädling ist ein Erpressungstrojaner, der Daten verschlüsselt, diese anschließend aber nicht mehr dekodieren kann.
Im April sorgte vor allem der Banking-Trojaner Android.BankBot.358.origin, der bisher über 60.000 …
Die größten Bedrohungen im Oktober 2016
… verbreitet sich als PDF-, Microsoft-Office- oder Open-Office-Datei.
Noch Ende September wurde auf Google Play der Trojaner Android.SockBot.1 analysiert, der den Internettraffic über infizierte mobile Endgeräte weiterleitet. Die Endgeräte nutzt er dafür als Proxy-Server. Weitere Informationen zu Android.SockBot.1 sind hier zu finden.
Statistik von Dr.Web …
Verschärfte IT-Sicherheitslage: Doctor Web stellt 2016 vermehrt Angriffe auf Linux und Mac OS fest
… verwendeten die Protokolle SSH und Telnet, um eine Verbindung aufzubauen. Der Trojaner Linux.Mirai richtete hier den größten Schaden an.
Android-Bankentrojaner:
Der Trojaner Android.SmsSpy.88.origin infizierte allein 2016 über 40.000 mobile Android Geräte in 200 Ländern. Sobald Nutzer ihre Online-Banking App starteten, zeigte er ein gefälschtes Fenster …
Mining-Trojaner im Fokus: Der Doctor Web Virenrückblick für das Jahr 2018
… Kryptowährungen zu schürfen. Beide Trojaner wurden von Doctor Web entdeckt und in die Virendatenbank aufgenommen.
2018 – Von Verschlüsselungstrojanern bis hin zu infiziertem Online-Banking
Letztes Jahr wurde eine Reihe von Verschlüsselungstrojanern entdeckt, zum Beispiel Trojan.Encoder.24384 oder Trojan.Encoder.25129, welche nach dem Neustart des Rechners Dateien …
Trojaner nutzt Zero-Day-Sicherheitslücke des Counter-Strike-Clients 1.6 aus
… ersetzte der Trojaner die Dateien des Clients und erstellt Proxies, um andere Benutzer zu infizieren. Ein solches Schema dient in der Regel dazu, ein Netzwerk von infizierten Computern aufzubauen, mit dem Spielserver für Geld beworben werden können.
Die Zahl der Online-Spieler mit offiziellen CS-Clients 1.6 liegt aktuell bei ca. 20.000, die Gesamtzahl …
Don’t Panic! Erste Hilfe beim Virenfund – Der Doctor Web Security-Tipp des Monats Dezember
… Sicherungskopien wichtiger Daten anzufertigen. Im Falle einer Infektion des Computers sind diese dann zumeist außer Gefahr.
- Neustart: Oft ist es nicht nachzuvollziehen, wie das infizierte Programm auf dem Computer gelandet ist oder um welches Schadprogramm es sich genau handelt. Dann bleibt nur die Neuinstallation des Betriebssystems. Bei diesem Schritt …
Doctor Web Virenanalyse: Mining-Trojaner auf Windows zum Schürfen von Kryptowährungen entdeckt
… Server unter Windows infiziert hatten. Alle Trojaner nutzten eine Sicherheitslücke im Cleverence Mobile SMARTS Server aus. Zudem meldeten die Virenanalysten von Doctor Web 27 infizierte Spiele im Google Play Store, die insgesamt 4,5 Millionen Mal heruntergeladen wurden.
Bereits im Juli 2017 informierten die Sicherheitsanalysten von Doctor Web die Entwickler …
Rund 1,7 Millionen Apple-Endgeräte mit Werbe-Trojanern infiziert
… eine Auswahl mit diversen Komponenten, von denen normalerweise alle Elemente installiert werden. Darunter befinden sich ein weiterer Trojaner (Mac.Trojan.VSearch.4) sowie infizierte Programme. Dazu gehören das kostenlose Virenschutzprogramm MacKeeper, der Cloud-Dienst für Backups ZipCloud oder die Toolbar Mac.Trojan.Conduit für den Browser.
Nach der …
Download-Trojaner versteckt sich in Word-Dokumenten
… eine ausführbare Datei vom Server der Übeltäter und starten diese. In unserem Fall wurde W97M.DownLoader.507 verwendet, um den gefährlichen Bankentrojaner Trojan.Dyre.553 auf infizierte Computer zu spielen.
Die Sicherheitsspezialisten von Doctor Web möchten alle Anwender auf den Schädling aufmerksam machen und raten zu höchster Vorsicht. Bitte öffnen …
Sie lesen gerade: Doctor Web entdeckt neuen Erpressungstrojaner: Infizierte Dateien können nicht wieder entschlüsselt werden