Neuer Verschlüsselungs-Trojaner “Crypt0L0cker” aufgetaucht

Und wieder ist ein neuer Erpressungs-Trojaner mit Namen “Crypt0L0cker” aufgetaucht. Ausser in der Schreibweise, bei welcher der Buchstabe “o” durch Null ersetzt wurde, unterscheidet sich dieser Verschlüsselungs-Trojaner nicht von den bekannten Torrent oder Cryptolocker. Hauptsächlich hat es die Ransomware auf Anwender in Europa, Asien, Amerika und Australien abgesehen und überträgt sich über altbekannten Weg wie E-Mails. Je nach Empfängerland werden die E-Mails im Aussehen und Aufbau bzw. Absenderadresse entsprechend angepasst. So erhalten z.B. potenzielle Opfer in England eine Paketverfolgungsnachricht der Royal Mail zugesendet. Wie üblich versuchen die Kriminellen im Bodytext den Anwender zum Klick auf eingebettete Links oder zum Öffnen von Malware infizierten Anhänge zu überreden.

Hat die Infektion den Rechner erfolgreich gekapert, werden alle angeschlossenen Festplatten gescannt, diverse Schattenkopien gelöscht und dabei etliche Dateiformate des Anwenders von dem Erpressungs-Trojaner verschlüsselt. Die verschlüsselten Daten erhalten dabei als Präfix “.encrypted” und in jedem Ordner werden zudem Anweisungen in Form einer “DECRYTP_INSTRUCTIONS.html” und “DECRYPT_INSTRUCTIONS.txt” abgelegt. Für die Entschlüsselung der Daten wird eine Lösegeldzahlung von 2,2 Bitcoin (rund 450 Euro) gefordert. Damit die Drahtzieher hinter der Malware unerkannt bleiben, wird über das Tor-Netzwerk kommuniziert.

Verschlüsselte Dateiformate:
.html, .inf, .manifest, .chm, .ini, .tmp, .log, .url, .lnk, .cmd, .bat, .scr, .msi, .sys, .dll, .exe, .avi, .wav, .mp3, .gif, .ico, .png, .bmp and .txt

Text, der in der DECRYTP_INSTRUCTIONS.html Datei angezeigt wird:

WARNUNG wir haben Ihre Dateien mit dem Crypt0L0cker Virus verschlüsselt. Ihre wichtigen Dateien (einschließlich der auf Netzwerkdisketten, USB, etc.): Fotos, Videos, Dokumente, etc. wurden mit unserem Crypt0L0cker Virus verschlüsselt. Der einzige Weg, die Dateien zurückzubekommen, ist uns zu bezahlen. Sonst sind Ihre Dateien verloren. Achtung: Die Entfernung von Crypt0L0cker wird den Zugriff auf Ihre verschlüsselten Dateien nicht wiederherstellen.

Cryptolocker:
Rufen wir uns noch einmal ins Gedächtnis, wie uns die Ransomware mit Verschlüsselungstechnik das Leben schwer gemacht hat – Die Malware CryptoLocker wurde in der Regel über diverse Spam Emails verbreitet, deren Anhang eine ausführbare Datei mit dem CryptoLocker-Downloader enthielt. Wurde der Trojaner ausgeführt, nahm die Malware Kontakt mit ihrem Command und Control-Server auf, generierte einen nicht entschlüsselbaren RSA-Key und verschlüsselte mit diesem alle persönlichen Dateien, wie Fotos, Dokumente, Präsentationen und Musik auf dem infizierten Computer. Weiterhin verwehrte ein Sperrbildschirm mit einer Lösegeldforderung von teilweise mehreren hundert Euro das weitere Arbeiten an dem Computer. Zur Wiederherstellung der Dateien solle innerhalb von X Stunden das geforderte Geld in Form von Bitcoins an angegebene Adressen angewiesen werden. Eine Entschlüsselung nach Bezahlung wurde nie garantiert!

Bildschirmfoto 2015-05-04 um 10.20.12

Crypt0L0cker

Angst und Einschüchterung ist hierbei die Motivation der Kriminellen:

Kommen Sie der Lösegeldzahlung bitte nicht nach!!

Es gibt zur Zeit keine wirklich gute Möglichkeiten die verschlüsselten Daten wieder herzustellen, diverse Versuche wie mit dem Kaspesky Ransomware Decryptor funktionieren nicht mit allen Verschlüsselungs-Trojanern.

Wie kann ich meinen Rechner schützen?

Bildschirmfoto 2014-10-20 um 13.00.59

Installieren Sie unseren kostenfreien Cyber-Impfstoff. Dank der verbauten Funktion “CryptoGuard” erkennt unser Impfstoff auch Aktivitäten von Verschlüsselungstrojanern. Er schlägt immer dann an, wenn Dateien verändert werden sollen und wichtige Meta-Daten, wie z.B. die Eigenschaft ein Word-Dokument zu sein, verlieren. Um Sie vor der Verschlüsselung zu schützen, stoppt unser “Watchdog” den Prozess, der hierfür verantwortlich ist und spielt die zuvor angelegten und im Arbeitsspeicher gehaltenen Sicherheitskopien der Dateien auf Ihre Platte zurück. Anleitung>>

  1. Schützen Sie Ihren Computer vor einer Infektion, indem sie das System immerup-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht auf integrierte Links, bzw. öffnen Sie niemals deren Anhänge.
  2. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
  3. Machen Sie regelmäßig Backups von ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Im Infektionsfall sollten Sie diese immer griffbereit haben.
  4. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac!

Wenn Sie nicht weiterkommen, melden Sie sich in unseren kostenfreien Forum an und erstellen dazu einen Beitrag. Die Experten helfen Ihnen “Schritt für Schritt” bei der Behebung des Problems.