Lösung: Ransomware verschlüsselt Dateien und fordert zur Zahlung von 50€ auf!

Eine neue Scareware Variante hat es auf Benutzer abgesehen, die sich Music, Videos oder andere Dateien aus File-Sharing Programmen heruntergeladen haben. Dabei verschlüsselt der Trojaner alle nicht ausführbaren Dateien wie Bilder, Musik, Videos oder Dokumente, ändert die Endungen auf .EnCiPhErEd und tauscht das Icon der Dateien mit einem pinkfarbenen Icon aus. Der Trojaner gibt darauf hin eine Meldung aus, dass eine Zahlung von 50€ fällig sei um die Dateien wieder zu entschlüsseln und somit wieder brauchbar zu machen. Dabei wird ein Code erzeugt, den der Benutzer eingeben kann.

Die Schadsoftware Trojan.Ransom.HM ( auch “Trojan:W32/Ransomcrypt” oder “Trojan.Encoder.94”) , die u.a. vom Anti-Viren Hersteller Bitdefender, F-Secure und Dr.Web gefunden und untersucht wurde, versteckt sich vermehrt in P2P-Tauschbörsen und infiziert dort oft Cracks, Keygens oder sonstige ausführbare Dateien, weshalb wir  dringend davon abraten, Tauschbörsen zu benutzen und dort Dateien herunterzuladen. Nachdem die Dateien verschlüsselt wurden, taucht eine Meldung auf, dass illegale Inhalte auf dem Computer gefunden wurden und man eine “Strafzahlung” in Höhe von 50€ an die E-Mail Adresse Koeserg@gmail.com zu entrichten hat (Abb.1).

Abb.1 Scareware verschlüsselt Dateien (Foto: Malwarecity.com)

In jeglichen Ordnern liegt unter anderem eine Textdatei “HOW TO DECRYPT FILES.txt”, in der folgendes steht:

Attention! All your files are encrypted!

You are using unlicensed programms!

To restore your files and access them,

send code Ukash or Paysafecard nominal value of  EUR 50 to the e-mail Koeserg@gmail.com.

During the day you receive the answer with the code.

You have 5 attempts to enter the code. If you exceed this date all data is irretrievably spoiled. Be careful when you enter the code!

 

Die Meldung besagt, dass alle Dateien verschlüsselt worden sind und man darüber hinaus unlizenzierte Programme verwendet. Um die Dateien zu entschlüsseln soll man einen Ukash oder Paysafecard Code in Höhe von 50€ kaufen und an die o.g. E-Mail Adresse senden. Dann wird ein Entschlüsselungscode generiert und an das “Opfer” gesendet. Man habe nur 5 Versuche den Code einzugeben, andernfalls würden alle Dateien unwiderruflich verschlüsselt bleiben.

Abb.2 Scareware – Programmicons und Dateieindungen geändert (Foto: Malwarecity.com)

Obwohl keine direkte Bedrohung vorliegt, werden viele Anwender dieser Aufforderung nachgehen. Denn Anspielungen wie “illegale Inhalte”, Warnmeldungen oder Error-Bildschirme schüchtern viele ein und verleiten dazu vorschnell zu handeln und somit den Betrag zu bezahlen. Zahlen Sie auf keinen Fall!

Dr.Web bietet einen kostenlosen Service an, um die Dateien wieder zu entschlüsseln. Dabei reicht das Einsenden einer Datei aus, damit Dr. Web daraus den Entschlüsselungscode generieren kann.

UPDATE1: majorgeeks.com bietet einen Decrypter als Direktdownload an. Das Tool nennt sich te94decrypt.exe und kann hier heruntergeladen werden.

 

Sind Sie auch betroffen? Teilen Sie Ihre Erfahrungen mit unserer Community.

9 thoughts on “Lösung: Ransomware verschlüsselt Dateien und fordert zur Zahlung von 50€ auf!”

  1. tja herr Dr W was soll ich sagen meine gesamte Festplatte mit 2 Tb sind verschlüsselt und so langsam weis ich leider nicht mehr weiteter was ich machen soll ich ditte um ihre mithilfe an Programmen oder sonstigem

    mit freundlich grüse

  2. Hallo,
    leider ist es nicht ganz das Problem was ich habe. Ich wurde in einer Email aufgefordert knapp 1100 Euro zu zahlen . Nun wollte ich den Laptop neustarten und er sagte er müsse ein Reboot aus einer Sicherunsdatei ausführen.
    Mein Spybot Program hatte mir einen Trojaner angezeigt doch er ist nicht mehr auffindbar, ich denke er sitzt irgendwo verschlüsselt.
    Was kann ich tun
    MFG

    1. Hallo Jennifer,

      solchen Eamils solltest du immer kritisch gegenüber stehen und nicht gleich die Anhänge öffnen. Überprüfe deine System bitte mal mit Malwarebytes im Vollscan.

      Wenn du weiterhin Hilfe benötigst, melde dich kostenfrei in unserem http://forum.botfrei.de an. Erstelle ein neues Thema mit Beschreibung deines Problems, die Experten dort helfen dir “Schritt für Schritt” bei der Lösung.

      Gruß ABBZ

  3. Hallo,

    ich bin leider auch gerade darauf reingefallen.
    Hab die 100€ nicht gezahlt und den virus über ne andere antivirus software runterbekommen. Leider sind ALLE dateien verschlüsselt …
    Ich finde nix, was mir hilft.

    1. Hallo Denise,

      leider gibt es für die Entschlüsselung deiner Dateien noch keine Lösung, wenn es was dazu gibt, werden wir die ersten sein, die darüber berichten. Schau hier im Blog und in unserem Forum regelmäßig vorbei.

      Grüße,
      TB, ABBZ

  4. Hallo Dr.Web,

    ich weiss gar nicht mehr wie das entstand, hatte die BKA Sperrungsseite ein zweites Mal auf meinem Rechner, habe Sie wohl entfernen/überlisten können durch Überprüfung mit Microsoft Security Essentials!!
    Allerdings kann ich seitdem keine meiner Dokumente mehr öffnen, bekomme immer eine Seite in drei Sprachen, in der darauf hingewiesen wird das DIE DATEI VERSCHLÜSSELT ist!!!
    Zur Entschlüsselung soll ich Firewall und Antivirus deaktivieren und eine Internetverbindung aktivieren, dann Archiv entpacken : C:\Users\mein PCName\AppData\Local\bwiyLXbY\mNnlBvvO.zip(archibieren mit dem gleichen Namen auf dem Desktop).Passwort FOSBCbnm
    Die entpackte QfAoszHF.exe
    Geben Sie den richtigen Code Gutschein Ukash, Paysafecard oder MoneyPack
    Starten Sie den Computer nicht.Erwarten Sie komplette Dekodierung

    Wer kann mir helfen bitte!!!!

    lieben Gruß

    Framil

    1. Hallo Framil,

      melde Dich bitte mal in unserem kostenfreien Forum an und erstelle dort einen Beitrag mit diesem Problem. Die Experten helfen Dir weiter.

      Grüße,
      TB, botfrei.de

  5. wer kann mir helfen of meinem mobilgerät volgene meldung afgetreten.Mobilgerät durchgeführt werden,werden fixiert Alle ihre Dateien sind verschlüsselt.beträgt 100€ Sie können mit PaySafeCargd zahlen.was soll ich tun.bitte helfen Sie mir

Kommentare sind geschlossen.