Neue Verschlüsselungs-Trojaner Variante im Umlauf

Peter I.

Nach den Ausführungen im Delphi-Forum zu urteilen, gibt es wöchentlich eine aktualisierte Variante.

Meine Infektion stammt von heute morgen 01:00, ist infolgedessen wohl die aktuellste Version.

Ich habe die betroffene Festplatte danach ausgebaut (2,5" S-ATA aus einem Fujitsu Livebook 320 GB, Windows 7 -64) und betreibe den Rechner von einer externen Festplatte, auf die ich ein Linux installiert habe.

Die Daten dort sind zum überwiegenden Teil Bilder im jpeg- und im NEF-Format. Auf die während der Infektion über USB (vermutlich) angeschlossene CF-Karte und die darauf befindlichen Bilder konnte ich danach von der Live-DVD der Linux-Welt noch zugreifen. Ein Blick auf die inzwischen kurz noch einmal eingehängte Platte ergab jedoch, daß dort fast alle Dateien (mit Ausnahme derer in den Programm- und Programmdatenverzeichnissen sowie der im Windows-Verzeichnis) komplett umbenannt wurden und man schon deshalb kaum weiterkommen wird, weil nicht mehr so ohne weiteres klar ist, welche Datei welchen Typs war. Es ist daher auch (abgesehen von der unverseht gebliebenen Benennung der Datenverzeichnisse) nicht mehr ohne weiteres möglich, aus den Verzeichnissen einzelne Dateien zu identifizieren, bei denen sich der Aufwand einer Restaurierung lohnt.

Hier ergibt sich abseits der Untersuchung des jeweils aktuellen Virus und seiner Funktionsweise ein weiterer Aspekt:
Haben wir es tatsächlich mit besonders ausgefeilter Beschaffungskriminalität zu tun oder soll die Erpressung nicht vielmehr über andere Hintergründe hinwegtäuschen?
Soweit ich mich heute in die Materie hineingelesen habe, ist bei diesem Stand des Schädlings eine Lösegeldzahlung rausgeworfenes Geld, da damit vielleicht ein Zugriff auf die Maschine möglich wird, den man aber auf einfache Art auch anderweitig erlangen kann. Mit einem Zugriff auf die Daten hat das noch lange nichts zu tun. Der Rechner kann offenbar selbst nach einer vermeintlichen Freischaltung nach einer Zahlung nur als Schädlingsschleuder dienen. Sind die Daten unrettbar verloren und kann man den PC nur komplett neu aufsetzen (ggf. mit einer neuen, größeren Platte), besteht kein Grund, über eine Zahlung an die Verbrecher auch nur ernsthaft nachzudenken. Das müßte jedoch über die Medien (Heise bspw.) entsprechend eindringlich publiziert werden.

So wie die Masche derzeit aufgezogen ist, bringen auch Appelle zur Vorsicht nichts. Man sieht sich mit einer anderen Straftat konfrontiert (Idenditätsklau, Erwerb von Waren auf fremde Rechnung in beträchtlichem Wert) und greift nach den angeblich im Anhang enthaltenen Detailinformationen der Bestellung und der avisierten Abbuchung, um sich dagegen verteidigen zu können.
Die e-mail enthält zwar eine Zip-Datei, aber es gibt weder in deren Inhalt Einblick, so daß man dort einer executable angesichtig würde, noch wird die für den Nutzer sichtbar ausgepackt. Windows erklärte nur, dafür kein Programm zur Verfügung zu haben. An der Stelle war dann aber ohne sofortiges zweckentsprechendes Handeln schon alles zu spät.