Neuer Ransom-Trojaner bittet zur Kasse

Der auch ‘W32/DatCrypt’ genannte Trojaner informiert Besitzer von befallenen PCs, dass eine Datei beschädigt sei und eine Reparatur (gegen einen geringen Obolus) dieses Problem beheben könnte. “Der W32/DatCrypt-Trojaner infiziert den PC und gaukelt seinem Benutzer vor, dass Dokumente, Videos, Musik und Bilder beschädigt seien. In Wahrheit aber arbeitet der Schädling bereits im Hintergrund, verunsichert den User mit täuschend echt aussehenden Windows-Botschaften und fordert zum Download einer ‘Reparatursoftware’ namens Data Doctor 2010 auf”, so Mikko Hyppönen, Chief Research Officer bei F-Secure.

Einmal heruntergeladen und installiert erhält der User folgende Nachricht: “Eine nicht registrierte Version berechtigt nur zum Reparieren einer Datei. Um weitere Dateien entschlüsseln zu können, benötigen Sie die Vollversion zum Preis von 89,95 US-Dollar. Sobald das Geld bezahlt worden ist, wird der Zugriff auf sämtliche Dateien wieder freigegeben.”

“Der Trojaner geht dabei äußerst hinterhältig vor. Der Benutzer setzt in der Regel alle Hebel in Bewegung, um an seine Daten zu kommen, vergisst dabei aber, dass er gerade im Begriff ist, teures Geld zu bezahlen. Einige User empfehlen das Produkt sogar im Freundeskreis weiter, ohne sich über die Konsequenzen bewusst zu sein. Vergleichbare Ransomware setzt dabei auf einen seit Jahren bekannten Trick – File Fix Pro Utility”, so Hypponen weiter.

Einer der ersten Angreifer, der Ransomware zur Verbreitung über das Internet einsetzte, sei der Trojaner TROJ_PGPCODER.A gewesen. Er habe nach der Infizierung mehrere hundert Dollar zur Entschlüsselung gefordert. Die finnischen Sicherheitsexperten von F-Secure empfehlen, Dokumente, Videos, Musik und Bilder turnusmäßig mittels Backup zu archivieren.