Neuer Trojaner macht Dateien dauerhaft unbrauchbar

Neuer Trojaner macht Dateien dauerhaft unbrauchbar

Liebe Freunde des Longdrinks! Es gibt Neuigkeiten vom Trojaner-Markt. Ja ist es denn möglich? Der neue Erpressungstrojaner: Trojan.Encoder.25129 kann einmal verschlüsselte Daten, aufgrund einer Veränderung im Code, nun nicht mehr entschlüsseln. Echte Qualitätsarbeit, also. Einmal an Bord beginnt der Trojaner sofort mit der Arbeit. Er stellt zunächst seinen eigenen Standort fest, hierzu genügt die IP des neuen Wirtes. Befindet dieser sich laut IP in Russland, Weißrussland oder Kasachstan, oder ist in den Spracheinstellungen des Betriebssystems Russisch als Sprache hinterlegt, wird nicht verschlüsselt, so war es gedacht. Doch wegen eines blöden Fehlers im Code oder aufgrund einer nachträglichen Veränderung sind nun auch die Russen dran. Hehe. Ein Schelm, wer Böses dabei denkt.

Veränderung im Code

Doch Code hin oder her,  jetzt wird standortunabhängig gearbeitet. Verschlüsselt wird, was das Zeug hält: immer, überall, alles. Jede Kiste, jedes System an jedem Standort: Der Trojan.Encoder.25129 verschlüsselt Dateiordner der Nutzer und des Desktops, sowie Dienstverzeichnisse, wie AppData und LocalAppData. Verschlüsselt wird mit AES-256-CBC, die neuen Dateien werden mit der Endung .tron veredelt. Dateien mit einer Größe von 30.000.000 Byte, also etwa 28,6 MB bleiben allerdings verschont. Das wäre dann wohl doch zuviel. Zuletzt erstellt die Malware noch die Datei %ProgramData% und trägt dort den Wert 123 ein.

Dem Fiesling zuvorkommen

Und hier ist die Lösung: Wer nun also dem Fiesling zuvorkommen will, erstellt diese Datei einfach selbst, denn wenn eine solche Datei bereits existiert und erkannt wird, wird die Verschlüsselung nicht durchgeführt. Der Trojaner folgt sonst aber seiner natürlichen Bestimmung und zeigt eine Lösegeldforderung an. Die Forderungen variieren und liegen zwischen 0,007305 und 0,04 Bitcoins. Obwohl die kriminellen Lösegeld-Erpresser behaupten, sie können den Opfern in dieser Angelegenheit behilflich sein, nach Erhalt des Geldes versteht sich, und alle Dateien entschlüsseln, ist das wegen eines blöden Fehlers im Code oder wegen einer nachträglichen Veränderung des Codes nicht möglich.

 

Bildquelle: Neuer Trojaner macht Dateien dauerhaft unbrauchbar – geralt, thx! (CC0 Public Domain) Andreas kann sicher erreicht werden auf Signal +47 925 40 614 oder über WhatsApp.

Related Post

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.