Ukash/Paysafe-Trojaner verschlüsselt Dateien

Der Ukash/Paysafe-Trojaner sperrt Windows-Rechner unter dem Vorwand, dass es sich um Raubkopien handle; für die Freigabe verlangen die unbekannten Täter zwischen 50 und 100 Euro. Doch anders als die Vorgänger verschlüsseln aktuelle Versionen des Trojaners auch Dateien, deren Inhalt auch nach einer Reinigung nicht ohne weiteres wieder zugänglich ist. Diverse Tools helfen bei der Entschlüsselung.

Es handelt sich ganz offenbar um ein weit verbreitetes Problem; allein bei der Kreispolizeibehörde Rhein-Sieg-Kreis sind in den letzten Tagen über 30 Anzeigen zu diesem Lösegeld-Trojaner eingangen – bundesweit dürften tausende Anwender betroffen sein.

Die verschlüsselten Dateien tragen einen Name der Form locked-.<Dateiname>.<4 zufällige Zeichen>. Sie lassen sich zwar mit speziellen Tools wieder herstellen. Das Anti-Botnet-Beratungszentrum empfiehlt dazu Tools von Avira und Dr.Web; im Forum der Initiative Botfrei.de und bei Trojaner-Board werden weitere diskutiert. Das Problem ist jedoch, dass es bereits mehrere Versionen des Schädlings gibt. Bis jetzt ist nicht ganz klar, welche Tools die Dateien welcher Trojaner-Versionen entschlüsseln können.

Der beste Tipp ist somit, die verschlüsselten Dateien alle zu sichern und anschließend zu versuchen, Kopien der Dateien zu entschlüsseln. Eventuell lohnt es sich auch, ein wenig zu warten, bis sich die aktuelle Aufregung ein wenig gelegt hat und die AV-Hersteller komplette und einfach zu bedienende Tools für die Entschlüsselung der Dateien liefern. (ju)