Dateiendung .zcrypt: Microsoft warnt vor wurmartigem Erpressungstrojaner
Die Ransomware ZCryptor verbreitet sich von System zu System, indem der Trojaner sich im Autostart von USB-Sticks einnistet. Sie verschlüsselt über 80 verschiedene Dateitypen.
(Bild: Microsoft)
- Fabian A. Scherschel
Microsoft warnt Nutzer vor einem neu entdeckten Erpressungstrojaner namens ZCryptor. Der Schädling verhält sich eigentlich wie viele andere Ransomware-Programme, hat aber die besonders perfide Eigenheit, sich auch auf eingesteckte USB-Laufwerke und -Sticks zu kopieren. Indem sich ZCryptor in die Autostart-Datei der Laufwerke einklinkt, verbreitet er sich wurmartig von System zu System.
ZCryptor befällt Dateien mit über 80 verschiedenen Endungen und benennt sie nach dem Verschlüsseln in .zcrypt um. Momentan ist keine Möglichkeit bekannt, diese Daten nach der Verschlüsselung zu retten. Es helfen also nur Vorsichtsmaßnahmen wie etwa eine gute Backup-Strategie.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Laut Microsoft infizieren sich Anwender in der Regel, indem sie den Trojaner aus dem Netz herunterladen – zum Beispiel als Teil einer Phishing-Mail. Oft ist der Trojaner mit Hilfe bösartiger Makros in einem Office-Dokument getarnt. Ein anderer Infektionsweg sind gefälschte Adobe-Flash-Installationsprogramme, die der Nutzer auf dubiosen Webseiten präsentiert bekommt. Die installierte Schadsoftware namens zcrypt.exe versteckt sich mittels Datei-Attributen, damit der Nutzer sie nicht im Dateibrowser finden kann.
Eine detaillierte Beschreibung der Trojaner-Eigenschaften findet sich in einem Technet-Eintrag des Microsoft Malware Protection Center. (fab)
