XoristDecryptor: Verschlüsselungs-Trojaner Trojan-Ransom.Win32.Xorist
 

XoristDecryptor: Verschlüsselungs-Trojaner Trojan-Ransom.Win32.Xorist

Ein Schadprogramm der Familie Trojan-Ransom.Win32.Xorist verschlüsselt die Daten auf dem betroffenen Computer so, dass die Arbeit mit diesen Daten nicht mehr möglich ist, der Computer wird blockiert.
Zuer Enstperrung der Daten wird Geld erpresst.


Zur Bekämpfung von Schadprogrammen der Familie Trojan-Ransom.Win32.Xorist verwenden Sie das Tool XoristDecryptor.exe.

http://img.trojaner-board.de/verschl...tDecryptor.png http://img.trojaner-board.de/verschl...Decryptor2.png







Desinfizieren eines infizierten Systems

1. Laden Sie das Archiv Anhang 34635 herunter. Entpacken Sie das Archiv mit einem Archivierungsprogramm, z.B. WinZip.
2. Starten Sie die Datei XoristDecryptor.exe.

Beim Start des Tools ohne Parameter wird nach dem Schlüssel gesucht, mit dem die Dateien verschlüsselt wurden. Wird ein solcher Schlüssel gefunden, so verwendet man ihn für die Entschlüsselung aller Dateien.



Kommando Zeilen Parameter

-l<Dateiname> - Bericht in einer Datei speichern
-y - das Fenster nach der Beendigung der Arbeit des Tools schließen.

Symptome einer Infektion

• Auf dem Bildschirm erscheinen unerwartete Meldungen mit der Anforderung, eine SMS-Nachricht für die Entschlüsselung von Dateien zu senden.
• Anstatt einer Meldung kann eine Textdatei im Stammverzeichnis C mit dem Namen "Прочти Меня - ваши файлы зашифрованы"

Vielleicht wird die Textdatei auf Englisch geschrieben.
http://support.kaspersky.com/de/faq/...2911_6(en).jpg

• Im Ordner Windows gibt es eine Datei namens CryptLogFile.txt
• Das trojanische Programm verschlüsselt alle Dateien mit folgenden Erweiterungen:

doc, xls, docx, xlsx, db, mp3, waw, jpg, jpeg, txt, rtf, pdf, rar, zip, psd, msi, tif, wma, lnk, gif, bmp, ppt, pptx, docm, xlsm, pps, ppsx, ppd, tiff, eps, png, ace, djvu, xml, cdr, max, wmv, avi, wav, mp4, pdd, html, css, php, aac, ac3, amf, amr, mid, midi, mmf, mod, mp1, mpa, mpga, mpu, nrt, oga, ogg, pbf, ra, ram, raw, saf, val, wave, wow, wpk, 3g2, 3gp, 3gp2, 3mm, amx, avs, bik, bin, dir, divx, dvx, evo, flv, qtq, tch, rts, rum, rv, scn, srt, stx, svi, swf, trp, vdo, wm, wmd, wmmp, wmx, wvx, xvid, 3d, 3d4, 3df8, pbs, adi, ais, amu, arr, bmc, bmf, cag, cam, dng, ink, jif, jiff, jpc, jpf, jpw, mag, mic, mip, msp, nav, ncd, odc, odi, opf, qif, qtiq, srf, xwd, abw, act, adt, aim, ans, asc, ase, bdp, bdr, bib, boc, crd, diz, dot, dotm, dotx, dvi, dxe, mlx, err, euc, faq, fdr, fds, gthr, idx, kwd, lp2, ltr, man, mbox, msg, nfo, now, odm, oft, pwi, rng, rtx, run, ssa, text, unx, wbk, wsh, 7z, arc, ari, arj, car, cbr, cbz, gz, gzig, jgz, pak, pcv, puz, r00, r01, r02, r03, rev, sdn, sen, sfs, sfx, sh, shar, shr, sqx, tbz2, tg, tlz, vsi, wad, war, xpi, z02, z04, zap, zipx, zoo, ipa, isu, jar, js, udf, adr, ap, aro, asa, ascx, ashx, asmx, asp, aspx, asr, atom, bml, cer, cms, crt, dap, htm, moz, svr, url, wdgt, abk, bic, big, blp, bsp, cgf, chk, col, cty, dem, elf, ff, gam, grf, h3m, h4r, iwd, ldb, lgp, lvl, map, md3, mdl, mm6, mm7, mm8, nds, pbp, ppf, pwf, pxp, sad, sav, scm, scx, sdt, spr, sud, uax, umx, unr, uop, usa, usx, ut2, ut3, utc, utx, uvx, uxx, vmf, vtf, w3g, w3x, wtd, wtf, ccd, cd, cso, disk, dmg, dvd, fcd, flp, img, iso, isz, md0, md1, md2, mdf, mds, nrg, nri, vcd, vhd, snp, bkf, ade, adpb, dic, cch, ctt, dal, ddc, ddcx, dex, dif, dii, itdb, itl, kmz, lcd, lcf, mbx, mdn, odf, odp, ods, pab, pkb, pkh, pot, potx, pptm, psa, qdf, qel, rgn, rrt, rsw, rte, sdb, sdc, sds, sql, stt, t01, t03, t05, tcx, thmx, txd, txf, upoi, vmt, wks, wmdb, xl, xlc, xlr, xlsb, xltx, ltm, xlwx, mcd, cap, cc, cod, cp, cpp, cs, csi, dcp, dcu, dev, dob, dox, dpk, dpl, dpr, dsk, dsp, eql, ex, f90, fla, for, fpp, jav, java, lbi, owl, pl, plc, pli, pm, res, rnc, rsrc, so, swd, tpu, tpx, tu, tur, vc, yab, 8ba, 8bc, 8be, 8bf, 8bi8, bi8, 8bl, 8bs, 8bx, 8by, 8li, aip, amxx, ape, api, mxp, oxt, qpx, qtr, xla, xlam, xll, xlv, xpt, cfg, cwf, dbb, slt, bp2, bp3, bpl, clr, dbx, jc, potm, ppsm, prc, prt, shw, std, ver, wpl, xlm, yps, md3.

Aktualisiert: 10.05.2012