Trojaner Dorifel verbreitet sich über Facebook und verschlüsselt Dokumente – so entschlüsselt man sie

30. März 2013 Kategorie: Backup & Security, Social Network, Windows, geschrieben von: caschy

Augen auf! Momentan passiert mit Facebook eine Sache, die auch schon Skype erwischt hat: das Verbreiten von Trojanern. Normalerweise würde ich jetzt sagen, dass das aktuelle Problem gar keines ist, denn halbwegs aktuelle Antiviren-Software sollte den Trojaner bereits erkennen. Aber mal von vorne: momentan bekommen viele Benutzer des Social Networks Facebook Nachrichten von Freunden, die folgenden Text beinhalten: “Your photos? LOL” – und dazu gibt es einen Link, der zum Download einer Exe-Datei auffordert. Hier sollten eigentlich schon die Alarmglocken läuten.

Facebook-Daumen-hoch

Und wenn das Hirn schon nicht geschaltet hat, dann sollte wenigstens der Virenscanner angeschlagen haben. Beide genannten Dinge lassen sich überlisten, denn sonst wäre „Trojaner-Dropper.Win32.Dorifel“ nicht wieder so erfolgreich. Was macht Trojaner-Dropper.Win32.Dorifel? Zuerst einmal musste er aktiviert werden. Nachricht kam an – Download – Ausführung der schädlichen Datei. Im Anschluss schnappt sich das Biest eure Dokumente und verschlüsselt diese. Ebenfalls wird Schadsoftware nachgeladen, die mal eben eventuell vorhandene Bankdaten wegfischt.

RTLO-example

Ist das Kind erst einmal in den Brunnen gefallen (was eigentlich recht schwer sein sollte), dann kann man hoffen, dass man ein aktuelles Backup hat, ansonsten muss man versuchen, die verschlüsselten Dokumente wieder zu entschlüsseln. Da Trojaner-Dropper.Win32.Dorifel bereits seit Mitte letzen Jahres aktiv und bekannt ist, gibt es ein Tool, welches die Daten wieder entschlüsseln soll. Diese Software ist portabel und kostenlos.

Mit der einfachen Ausführung prüft das Tool eine Infektion, kann aber auch direkt über die Kommandozeile aufgerufen und gestartet werden. Die einzelnen Parameter lassen sich der Homepage entnehmen. Normalerweise genügt ein Aufruf in Form von C:\Users\Carsten\Desktop\decrypt_dorifel.exe /all - quasi Pfad zur Datei mit dem Parameter /all. Hierbei werden alle Dateien gescannt. Der Parameter /del würde dafür sorgen, dass alle infizierten Dateien nach erfolgreicher Entschlüsselung gelöscht werden.

Solltet ihr also (hoffentlich nicht!) in diesem Fall um Hilfe gebeten werden, dann wisst ihr nun, was helfen könnte.

»

Gefällt dir der Artikel?
Dann teile ihn mit deinen Freunden.
Nutze dafür einfach unsere Links:
Über den Autor: caschy

Hallo, ich bin Carsten! Dortmunder im Norden, Freund gepflegter Technik, BVB-Maniac und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin und YouTube.

Carsten hat bereits 15497 Artikel geschrieben.


18 Kommentare

gissly 30. März 2013 um 11:56 Uhr

Das schlimme an der Sache is eigentlich, dass ich Leute kenne, denen so was regelmässig passiert…

Jens 30. März 2013 um 12:14 Uhr

Und das sind dann genau die Leute, die Virenkiller und Malmarescanner zu deinstallieren, nachdem man selbst den Rechner aufgeräumt hat. “Ach, die Software brauchte ich eh nicht.” Äh…. doch. Ausgerechnet Du. Da mir das jetzt ein, zwei Mal zu oft passiert ist, “helfe” ich den Leuten nur noch auf eine Art: Kaufberatung für ein System, mit dem das nicht passiert. Sprich: Tablet (normalerweise das eines bestimmten Herstellers, weil ich so wenig Folgeaufwand wie möglich will) plus Tastaturcover, wenn längere Texte geschrieben werden sollten. Die Lösung ist für diese Zielgruppe inzwischen ein vollwertiger Computer mit den geringsten Problemen – für sie selber und damit auch für mich. Wer weiss, warum er einen “richtigen” Computer mit all seinen Problemen braucht, der ist normalerweise nicht so dämlich, auf solche Trojaner reinzufallen.

micha 30. März 2013 um 12:16 Uhr

M.E. ist viel schlimmer, dass es gerade bei Facebook eine hohe Nutzer-Quote gibt, die auf sowas hereinfällt. Aber egal wo man hinschaut, Social Engineering spielt eine immer wichtigere Rolle und man muss am Ball bleiben um die Leute dagegen zu sensibilisieren.

jup 30. März 2013 um 12:23 Uhr

“viel schlimmer, dass es gerade bei Facebook eine hohe Nutzer-Quote gibt, die auf sowas hereinfällt”

es sind doch gerade die, die darauf reinfallen. nicht umsonst wird sowas über das fratzenbuch erfolgreich verteilt.

de_noogle 30. März 2013 um 13:16 Uhr

Gibt Leute, denen sollte man die DSL-Leitung kappen

Michael 30. März 2013 um 13:20 Uhr

@Micha: jep, zu dem Thema gab es auch von Spiegel TV (glaub ich) mal ‘ne Aktion, wie einfach sich genutzte Facebook Apps Zugriff auf die eigenen Inhalte verschaffen können bzw. besser gesagt, wie unvorsichtig und naiv viele Nutzer den Programmen diese Rechte gewähren. Da wird es in der Zukunft noch zu einem radikalen Umdenken kommen müssen!

DirkP 30. März 2013 um 13:34 Uhr

Gibt es Probleme hier? Letzter Beitrag wurde nicht genommen. Invalid ID ….
Also das gab es schon da war an Facebook und ko noch nicht mal zu denken. Damals hieß es schon Extension unter Windows immer anzeigen lassen. Wer einfach alles anklickt dem gehört es einfach nicht besser. Mal sehen wann das wieder kommt: Ich habe Fotos von Deiner Freundin in Verräterischen Posen gemacht usw. Ich der gleiche Kram.

Pierre 30. März 2013 um 13:44 Uhr

Ist man als Mac User auch irgendwie betroffen oder gibt es solche Trojaner auch für Mac derzeit?

micha 30. März 2013 um 14:34 Uhr

Es ist ein weit verbreiteter Irrtum, dass Mac-User vor Malware gefeit wären.

Kolja 30. März 2013 um 15:16 Uhr

Internet Führerschein für jeden ab 6 Jahren, zwei mal die Wochen bis zum Schulende.

juergen 30. März 2013 um 16:38 Uhr

Ich glaube auf Facebook passiert noch viel mehr in der Hinsicht, was aber nicht entdeckt wird.

Georg 30. März 2013 um 19:33 Uhr

Das Traurige ist doch, das die Leute einfach verblöden und nicht einmal mehr die .exe-Endung kennen – und die angebliche Nichtnotwendigkeit dessen auch noch als “Fortschritt” und “Usability” gepriesen wird, manche Hersteller lassen sich diese angebliche Einfachheit ja auch noch durch hohe Preise entlohnen. Würde ein Autofahrer nicht wissen wie man das Lenkrad bedient, nur weil ein Navi eingebaut, fänden wir das komisch. Bei einem PC-Nutzer ist ähnliches Verhalten ganz normal.

@Michael: Das ist ja eigentlich total schnurz, wer so blöd ist seine Daten zu verschenken, muss mit den Konsequenzen leben, zahlt ggf. Lehrgeld und passt in Zukunft besser auf. Das Schlimme an Apps auf Smartphones und Social Networks ist, das man durch die eigene Entscheidung die Daten von Freunden ungefragt weitergibt…die Wall der Freunde, die Handynummer aus dem Adressbuch etc. Kluge Spammer müllen nicht das eigentliche Opfer zu, sondern nur dessen Kontakte, so bleibt der Übeltäter für den unwissenden User unbemerkt.

TheFish 30. März 2013 um 20:11 Uhr

Pierre: “Ist man als Mac User auch irgendwie betroffen oder gibt es solche Trojaner auch für Mac derzeit?”

Bei diesem Kommentar sieht man, daß Mac-User eher so semi-intelligent sind.

kkklar 30. März 2013 um 23:56 Uhr

Mir fällt leider bei solchen Mac Kommentaren auf, das sich viele Mac Nutzer nicht im klaren sind, das die Sicherheitslücken oft in der Drittsoftware enthalten sind. Also Browser, Flash, andere Programme. Da nützt einem auch ein noch so gutes Betriebssystem nichts, wenn es an einer anderen Stelle schon hakt

ClaudiaBerlin 31. März 2013 um 11:36 Uhr

Schon das Abspeichern in den vom System dafür “vorgesehenen” Ordnern ist ein Schritt in die Gefährdung. Besser, man lagert die Daten in selber angelegten Verzeichnissen – ein Tipp, der früher zu den Basics gehörte, mittlerweile aber offenbar in Vergessenheit geraten ist.

Timo 31. März 2013 um 21:53 Uhr

@Claudia: mache ich schon Jahr und Tag so. Habe meine Dokumente/Musik etc alle in anderen Ordnern abgelegt und auch nicht auf der Windows-Partition. So hab ich kein Stress wenn ich Windows mal neu aufsetzen muß

Der gesunde Menschenverstand scheidet leidet zu oft aus. Genauso wie die angeblichen UPS-Rechnungen in einem ZIP-File. Verstehe auch nicht, wie man auf diese Mails in furchtbarem Englisch reinfallen kann.

red 1. April 2013 um 19:38 Uhr

Wer einfach so Dateien von fremden herunterlädt dem ist leider auch nicht mehr zu helfen!


Deine Meinung ist uns wichtig...

Kommentar verfassen

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich eine Zusammenstellung.