• Allgemein

Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert

Vorsicht Verschlüsselungs Trojaner: Seit einigen Tagen geistert ein echt fieser Trojaner durch das Netz, welcher zunächst Euer System sperrt und zusätzlich auch noch alle wichtigen Dateien verschlüsselt und somit unbrauchbar macht. Der Windows-Verschlüsselungs Trojaner verbreitet sich derzeit offenbar ausschließlich via E-Mails mit getürkten Rechnungen und Zahlungsaufforderungen.

Nachdem der Windows-Verschlüsselungs Trojaner Eure Dateien verschlüsselt hat, fordert er 50 Euro Lösegeld via Ukash oder Paysafecard und die bisher aufgetretenen Varianten von Trojan.Encoder.94 bzw. W32/RansomCrypt unterscheiden sich dabei nur durch unterschiedliche Schlüssel bei der Modifzierung der Dateien auf Eurem Rechner.

Windows-Verschlüsselungs Trojaner Trojan.Encoder.94

Windows-Verschlüsselungs TrojanerIch habe bis jetzt noch keine Möglichkeit gefunden, die verschlüsselten Dateien wiederherstellen zu können, auch wenn man den Windows-Verschlüsselungs Trojaner relativ einfach entfernen kann.


Wer bis jetzt noch keinen Kontakt mit dem Trojan.Encoder.94 gemacht hat, sollte die Zeit nutzen und endlich eine koplette Sicherung aller wichtigen Dateien anlegen, denn der Windows-Verschlüsselungs Trojaner verbreitet sich wirklich schnell und kann gerade in Netzwerken immensen Schaden anrichten!

Nachfolgend die Meldung des Verschlüsselungs Trojaners im Originaltext und solltet Ihr diese oder eine ähnliche Mitteilung beim Hochfahren des Computers lesen, ist leider schon alles zu spät!


Sie haben sich mit einen Windows-Verschlüsselungs-Trojaner infiziert.
Aus Sicherheitsgründen wurde ihr Windowssystem blockiert. Das Besuchen von Seiten mit pornografischen und infizierten Inhalten hat dazu geführt, das Ihr System von einem Computerverschlüsselungstrojaner befallen wurde. Dieses Virus verschlüsselt Ihre Festplatte mit einem 2048 Bit PGP-RSA Schlüssel und eine selbstständige Entschlüsselung ist nicht mehr machbar. Um das System wiederherstellen zu können, müssen Sie ein zusätzliches Sicherheitsupdate herunterladen. Dieses Update ist ein kostenpflichtiges Upgrade für infizierte Windowssysteme. Kostenpflichtig ist es, weil es nicht zum ursprünglichen Windowspaket gehört und nur dafür entwickelt wurde um Ihnen zu helfen ihre Daten nicht zu verlieren. Bitte schalten Sie den Computer nicht aus, sonst kann es vorkommen das der Virus nicht beseitigt werden kann und Sie ihre Daten komplett verlieren. Dieses Update beschützt ihr System vollständig von Virus und Schadprogrammen stabilisiert ihr Computersystem und verhindert den Datenverlust. Damit ihr Computer schnellstens entsperrt wird, nutzen Sie bitte die schnelle und diskrete Zahlungsmöglichkeit durch Paysafecard oder Ukash. Diese Karten können Sie an fast jeder Tankstelle oder einem Kiosk in Ihrer Nähe kaufen. Diese Codes gibts auch überall da, wo Sie Handyaufladekarten erwerben können. Sofort nach der Eingabe und der Gültigkeitsprüfung wird das Update auf Ihren Computer automatisch heruntergeladen und installiert. Ihr System wird sofort entschlüsselt und von dem Trojaner befreit.

Mehr Infos zum BKA und GVU Trojaner:

Windows-Verschlüsselungs Trojaner entfernen: Trojan.Encoder.94

Hier einige typische E-Mails über deren Anhang sich der sogenannte Windows-Verschlüsselungs Trojaner mittlerweile rasend schnell verbreitet, also bitte vorsichtig sein und auch Freunde und Bekannte warnen!

Sie haben sich für unseren Mail Upgrade angemeldet und wir sind sehr erfreut Sie als unseren neuen Member zu begutachten Sie können jetzt bis zu 600 Sms pro Monat um sonst versenden und Ihr Speicherplatz vergrössert sich um 16 GB. 439,99 Euro für Anmeldung werden Ihnen jährlich im Vorraus von Ihrem Bankkonto abgeschrieben. Entnehmen Sie die Rechnungen bitte dem Anhang, dort finden Sie auch die Mitteilung für Ihre 2 Wochen Kündigungsfrist. Mit freudlichen Grüssen
Ihr Kundenservice

Hier noch eine Variante und wer weitere Varianten findet wird gebeten, diese 1:1 in die Kommentare zu posten

Sie haben sich für unseren Mail Upgrade angemeldet und wir freuen uns Sie als unseren neuen Mitglieg zu begutachten Sie sind in der Lage jetzt bis zu 400 Kurzmitteilungen pro Monat frei versenden und Ihr Speicherplatz vergrössert sich um 14 Gigabyte. 364,79 Euro für Mitgliedschaft werden Ihnen jährlich im Vorraus von Ihrem Bankkonto abgebucht. Entnehmen Sie die Zahlungsdetails bitte dem Anhang, dort finden Sie auch den Antrag für Ihre 2 Wochen Kündigungsfrist.  Mit freudlichen Grüssen Ihr Kundenservice

Bei Dr. Web wird sich ebenfalls mit dem Windows-Verschlüsselungs Trojaner beschäftigt und hierzu die Software Malwarebytes Anti-Malware empfohlen, die hier zum Download bereitsteht. Auch mit der kostenlosen Kaspersky Notfall-CD lässt sich der Windows-Verschlüsselungs Trojaner W32/RansomCrypt vom Rechner entfernen, aber leider bleiben auch hier Eure Dateien weiterhin verschlüsselt und vorerst unbrauchbar.

Von F-Secure wurde ein Python-Script zur Entschlüsselung der betroffenen Dateien ein Pyton Script erstellt, aber in ersten Tests hat das Script fs_randec.py leider nicht funktioniert, um die durch den Trojaner W32/RansomCrypt verschlüsselten Dateien wiederherzustellen und im Trojaner Board wird zur Entschlüsselung das Tool te94decrypt.exe empfohlen, welches über die Windows Konsole ausgeführt werden muss. Ein erster Test war auch hier leider nicht von Erfolg gekrönt, aber vielleicht habt Ihr hierbei mehr Glück.

Ich empfehle allen Betroffenen dieses ekelhaften Windows-Verschlüsselungs Trojaner jedoch in den sauren Apfel zu beißen und das System komplett aufzusetzen – Natürlich blöd, wenn man keine regelmäßige Datensicherung betreibt und werde diesen Artikel sofort ergänzen, sobald es wirkliche Hilfe gegen den Trojan.Encoder.94 geben sollte…

17 Antworten

  1. Stiegi sagt:

    Hallo Leute,

    habe diese Mail erhalten:

    Sehr geehrte(r)(wieder mein Name),

    Sie haben sich für unseren Mail Upgrade angemeldet und wir sind stolz drauf Sie als unseren frischen Member zu begrüssen Sie sind in der Lage jetzt bis zu 400 Mitteilungen pro Monat um sonst versenden und Ihr Speichervolumen erhöht sich um 5 GB.

    277,89 Euro für Registration werden Ihnen ein Mal in 12 Monate im Vorraus von Ihrem Bankkonto zu Last gelegt. Entnehmen Sie die Zahlungsaufforderungen bitte dem Anhang, dort finden Sie auch die Erklärung für Ihre 2 Wochen Kündigungsfrist.

    Mit freudlichen Grüssen
    Ihr Kundenservice

    Ich habe daraufhin eine Mail geschrieben, daß ich mit sofortiger Wirkung kündige, was auch immer Sie mir andrehen wollten.
    Wie habt Ihr auf diese Mail reagiert??

    Gruß
    Stiegi

  2. Olli sagt:

    Hallo Leute ,
    ich habe auch noch eine Variante der Mail .

    Sehr geehrte(r) ,

    Sie haben sich für unseren Mail Upgrade angemeldet und wir sind stolz drauf Sie als unseren frischen Teilnehmer zu sehen Sie dürfen jetzt bis zu 500 Kurzmitteilungen pro Monat frei verschicken und Ihr Speichervolumen erweitert sich um 6 Gb.

    232,29 Euro für Mitgliedschaft werden Ihnen jede 12 Monate im Vorraus von Ihrem Bankkonto abgeschrieben. Entziehen Sie die Rechnungen bitte dem Anhang, dort finden Sie auch den Antrag für Ihre 2 Wochen Kündigungsfrist.

    Mit freudlichen Grüssen
    Ihr Kundenservice

  3. Sascha sagt:

    Sehr geehrter Sascha ********,

    Herzlichen Glückwunsch, Ihr Premiumemail Upgrade ist aktiviert worden.
    472,39 Euro für 24Monate Registrationsbeitrag werden Ihnen in kürze von Ihrem Bankkonto abgetragen. Entnehmen Sie die Vertragseinzelheiten bitte dem Anhang, dort finden Sie auch die Erläuterung über die Lastschriftabbuchung.

    mit freudlichen Grüssen
    Ihr Kundenservice

  4. Niklas Heidtstummann sagt:

    Meine Eltern bekamen eine “Rechnung” der Telekom von pshop@yammine.net. Dort war als Anhang eine .zip Datei, diese wurde Entpackt und zack war das System infiziert. Der Wortlaut der Email ist wie folgt:

    “Telekom Deutschland GmbH
    53171 Bonn
    27.04.12

    an
    ,

    Kundennummer 891336717
    Rechnungsnummer 1225338759
    Telefon 0800 33 01000

    Ihre Rechnung für April 2012

    Die Leistungen in Überblick
    Monatliche Beträge 39,51
    Nutzungsabhängige Beträge 5,56
    Beträge anderer Anbieter (0900 Servisnummer) : 968,79 Euro

    Der Rechnungsbetrag wird nicht vor dem 3. Tag nach Zugang der Rechnung von Ihrem Konto XXXXXXXXXX abgetragen (zum besseren Schutz Ihrer Daten wird die Kontonummer nicht angedruckt)

    Ihre Rechnung im Detail und weitere wichtige Hinweise finden Sie im Anhang

    Telekom Deutschland GmbH, Landgrabenweg 151, 53227 Bonn
    Postanschrift 53171 Bonn
    Konto Lautend auf Deutsche Telekom AG, Postbank Hamburg (BLZ 20010020), Kto.-Nr.198418205
    IBAN DE04200100200198418205, SWIFT-BIC PBNKDEFF
    Aufsichtsrat Timotheus Höttges (Vorsitzender)
    Geschäftsführung Niek Jan van Damme (Sprecher), Thomas Dannenfeldt, Thomas Freude, Christoph Ganswindt,
    Dr. Christian P.Illek, Dr. Bruno Jacobfeuerborn, Dietmar Welslau, Dr. Dirk Wössner
    Handelsregister Amtsgericht Bonn, HRB 5919, Sitz der Gesellschaft Bonn
    Identnummern Steuernummern: 205/5777/0518, USt-IdNr.: DE 122265872;
    WEEE-Reg.-Nr.: DE60800328, Ges.-Nr.: 1001”

    MfG
    Niklas Heidtstummannn

  5. Niklas Heidtstummann sagt:

    “Telekom Deutschland GmbH
    53171 Bonn
    27.04.12

    an
    ,

    Kundennummer 891336717
    Rechnungsnummer 1225338759
    Telefon 0800 33 01000

    Ihre Rechnung für April 2012

    Die Leistungen in Überblick
    Monatliche Beträge 39,51
    Nutzungsabhängige Beträge 5,56
    Beträge anderer Anbieter (0900 Servisnummer) : 968,79 Euro

    Der Rechnungsbetrag wird nicht vor dem 3. Tag nach Zugang der Rechnung von Ihrem Konto XXXXXXXXXX abgetragen (zum besseren Schutz Ihrer Daten wird die Kontonummer nicht angedruckt)

    Ihre Rechnung im Detail und weitere wichtige Hinweise finden Sie im Anhang

    Telekom Deutschland GmbH, Landgrabenweg 151, 53227 Bonn
    Postanschrift 53171 Bonn
    Konto Lautend auf Deutsche Telekom AG, Postbank Hamburg (BLZ 20010020), Kto.-Nr.198418205
    IBAN DE04200100200198418205, SWIFT-BIC PBNKDEFF
    Aufsichtsrat Timotheus Höttges (Vorsitzender)
    Geschäftsführung Niek Jan van Damme (Sprecher), Thomas Dannenfeldt, Thomas Freude, Christoph Ganswindt,
    Dr. Christian P.Illek, Dr. Bruno Jacobfeuerborn, Dietmar Welslau, Dr. Dirk Wössner
    Handelsregister Amtsgericht Bonn, HRB 5919, Sitz der Gesellschaft Bonn
    Identnummern Steuernummern: 205/5777/0518, USt-IdNr.: DE 122265872;
    WEEE-Reg.-Nr.: DE60800328, Ges.-Nr.: 1001”

    Wortlaut der Email bei uns!

  6. Michael P sagt:

    Hallo Leute,
    ein Bekannter von mir hatte sich ebenfalls mit dem wirklich miesen Trojaner infiziert, mit der neuen Kasperski Internet Security bin ich den Trojaner erstmal los geworden. Mit der CD den Rechner starten, den Anweisungen folgen, unbedingt ein Update durchführen. Ist selbsterklärend. Leider bleiben die verschlüsselten Dateien unbrauchbar.
    Klärt alle eure Bekannten u. Freunde auf, keinesfalls die zip-Datei derartiger Mails öffnen.
    Hoffentlich gibt es bald ein Handout, mit dessen Hilfe auch Nicht-PC Profis die verschüsselten Daten wieder herstellen können.
    Wäre dankbar
    Gruß Michael P

  7. Axel sagt:

    Hier wird gezeigt, wie der Virus entfernt wird, allerding hat der Sprecher nicht gesagt, ob die Festplatten entschlüsselt worden sind. Ich habe es aber so interpretiert, dass die Daten wieder cleen sind:
    http://www.youtube.com/watch?v=Z1irybtZy4M&feature=plcp

  8. Manuel Bär sagt:

    Recht ähnlich wie die bisherigen Mails – im Vergleich aber relativ wenig Fehler drin:

    Sehr geehrte(r) XXX,

    Sie haben sich für unseren Email Upgrade angemeldet und wir sind sehr erfreut Sie als unseren neuen Member zu sehen
    Sie können jetzt bis zu 400 Kurzmitteilungen pro Monat gebührenfrei verschicken und Ihr Speicherplatz erweitert sich um 18 Gigabyte.
    281,89 Euro für Anmeldebeitrag werden Ihnen ein Mal in 12 Monate im Voraus von Ihrem Bankkonto entzogen.

    XXX Entnehmen Sie die Vertragsdetails bitte dem Anhang, dort finden Sie auch die Erklärung für Ihre 2 Wochen Kündigungsfrist.

    Mit freundlichen Grüßen
    Ihr Kundenservice

  9. markus sagt:

    hi,
    sorry das so sagen zu müssen, aber hier in dem artikel ist einiges falsch.
    es handelt sich nicht um den trojan.encoder, sondern um etwas neues. deswegen kann ich nur abraten, die hier angebotenen tools zum entschlüsseln zu nutzen.
    hier:
    http://www.trojaner-board.de/
    haben wir 3 passene tools, eines von drweb, eines von avira und ein “haus eigenes”
    ein viertes ist in arbeit.
    alle im Diskussionsforum
    gruß.
    markus

  10. Stefanie Schmidt sagt:

    Habe diese email auch bekommen, Wortlaut war in etwa: “Herzlichen Glückwunsch zum Premium Upgrade, sie können ab sofort 400 sms versenden. betrag von 300 Euro wird von ihrem Bankkonto abgebucht.
    Ich habe den Anhang nicht geöffnet allerdings habe ich gestern dann plötzlich eine böse email einer mir völlig fremnden Person erhalten, die eben diese Email von meiner Email Adresse aus bekommen hat.
    Habe sofort das Passwort geändert aber fürchte jetzt natürlich, dass noch mehr Leute solche mails von mir bekommen – jemand einen Tipp was ich noch tun kann?

    Liebe Grüße

  11. Joman sagt:

    Hallo,

    hab den Virus mit MS Essential entfernt und die verschlüsselten daten mit dem Javaprogramm vom Trojanerboard erfolgreich entschlüsselt.

    Hat alles wunderbar geklappt.

    Echt gemein der Virus.

  12. Ingo sagt:

    Hallo!
    Handelt es sich bei den Mailanhängen grundsätzlich um Dateien im .zip- Format? Muss man das Entpacken dieser Datei – wenn man sie schon unbedingt anklicken muss- noch einmal bestätigen?

  13. Vanessa sagt:

    Betreff: Bestellbestätigung für V***** A*****

    Inhalt der Mail mit angehängter Zip-Datei:

    Sehr geehrte Kundin, sehr geehrter Kunde V**** A*****,

    unser Logistikzentrum hat Ihre Bestellung mit der Bestell-ID 91469605843 zur Lieferung an die DPD übergeben.

    Im Anhangsordner befindet sich die Rechnungsbestätigung und die Lieferadresse als PDF-Datei. Sie dürfen die Rechnungsbestätigung jederzeit selbst über den online Shop abrufen.

    Folgende Informationen werden abgefragt:

    – E-Mail und die Bestellnummer oder
    – die Auftrags-Nr. und die Seriennummer

    Bestellnummer: 52228362137
    Geräte Serien-Nr.: 05130712514
    Buchungssumme: 562,41 euro

    Ihre Bestellung ist hiermit fertiggestellt.

    Mit freundlichen Grüßen

    Ihr Kundendienst

    ___________________________
    Waida Technik Aktiengesellschaft mit Sitz in Essen

    Vorstand: Jürgen Berger, Heinz Mayer
    Aufsichtsratsvorsitzender: Thomas Vogel
    Gesellschaftssitz: Bremen 73453

  14. Peter sagt:

    Danke für Ihren Auftrag bei allmyTea, nachfolgend finden Sie Ihre Einkaufsbestätigung.

    Deine Transaktionsnummer: 557291971399
    Artikel: AirPremier 3002345038 9976,68 Euro
    Rechnungsname: [Echtname des Empfängers]

    Zahlungsmethode: Visa

    Versandadresse und detaillierte Bestelldetails finden Sie wegen Vorsichtsgründen in beigefügtem Anhang.

    Die Zahlung wurde autorisiert und wird innerhalb 2 Tage abgebucht.
    Artikeleinzelheiten und Widerruf Hinweise finden Sie in Beilage.

    Ihr Kunden-Support

    König GmbH
    Audorfring 48
    92021 Keiserslauter

    Telefon: (+49) 196 1051961
    (Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
    Gesellschaftssitz ist Altena
    Umsatzsteuer-ID: DE628466922
    Geschäftsfuehrer: Marco Lang

    *************************************************************

    Kleine Anmerkung: Die Jugendfreunde wollen jetzt schon 100 Euro via U kash

  15. Birgitt Petzold sagt:

    Kann der auch auf Geräte überspringen, die angeschlossen werden?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.