Eine neue Scareware Variante hat es auf Benutzer abgesehen, die sich Music, Videos oder andere Dateien aus File-Sharing Programmen heruntergeladen haben. Dabei verschlüsselt der Trojaner alle nicht ausführbaren Dateien wie Bilder, Musik, Videos oder Dokumente, ändert die Endungen auf .EnCiPhErEd und tauscht das Icon der Dateien mit einem pinkfarbenen Icon aus. Der Trojaner gibt darauf hin eine Meldung aus, dass eine Zahlung von 50€ fällig sei um die Dateien wieder zu entschlüsseln und somit wieder brauchbar zu machen. Dabei wird ein Code erzeugt, den der Benutzer eingeben kann.
Die Schadsoftware Trojan.Ransom.HM ( auch “Trojan:W32/Ransomcrypt” oder “Trojan.Encoder.94”) , die u.a. vom Anti-Viren Hersteller Bitdefender, F-Secure und Dr.Web gefunden und untersucht wurde, versteckt sich vermehrt in P2P-Tauschbörsen und infiziert dort oft Cracks, Keygens oder sonstige ausführbare Dateien, weshalb wir  dringend davon abraten, Tauschbörsen zu benutzen und dort Dateien herunterzuladen. Nachdem die Dateien verschlüsselt wurden, taucht eine Meldung auf, dass illegale Inhalte auf dem Computer gefunden wurden und man eine “Strafzahlung” in Höhe von 50€ an die E-Mail Adresse Koeserg@gmail.com zu entrichten hat (Abb.1).

Abb.1 Scareware verschlüsselt Dateien (Foto: Malwarecity.com)

In jeglichen Ordnern liegt unter anderem eine Textdatei “HOW TO DECRYPT FILES.txt”, in der folgendes steht:

Attention! All your files are encrypted!
You are using unlicensed programms!
To restore your files and access them,
send code Ukash or Paysafecard nominal value of  EUR 50 to the e-mail Koeserg@gmail.com.
During the day you receive the answer with the code.
You have 5 attempts to enter the code. If you exceed this date all data is irretrievably spoiled. Be careful when you enter the code!
 

Die Meldung besagt, dass alle Dateien verschlüsselt worden sind und man darüber hinaus unlizenzierte Programme verwendet. Um die Dateien zu entschlüsseln soll man einen Ukash oder Paysafecard Code in Höhe von 50€ kaufen und an die o.g. E-Mail Adresse senden. Dann wird ein Entschlüsselungscode generiert und an das “Opfer” gesendet. Man habe nur 5 Versuche den Code einzugeben, andernfalls würden alle Dateien unwiderruflich verschlüsselt bleiben.

Abb.2 Scareware – Programmicons und Dateieindungen geändert (Foto: Malwarecity.com)

Obwohl keine direkte Bedrohung vorliegt, werden viele Anwender dieser Aufforderung nachgehen. Denn Anspielungen wie “illegale Inhalte”, Warnmeldungen oder Error-Bildschirme schüchtern viele ein und verleiten dazu vorschnell zu handeln und somit den Betrag zu bezahlen. Zahlen Sie auf keinen Fall!
Dr.Web bietet einen kostenlosen Service an, um die Dateien wieder zu entschlüsseln. Dabei reicht das Einsenden einer Datei aus, damit Dr. Web daraus den Entschlüsselungscode generieren kann.
UPDATE1: majorgeeks.com bietet einen Decrypter als Direktdownload an. Das Tool nennt sich te94decrypt.exe und kann hier heruntergeladen werden.
 

Sind Sie auch betroffen? Teilen Sie Ihre Erfahrungen mit unserer Community.