Trojaner Dorifel verbreitet sich über Facebook und verschlüsselt Dokumente – so entschlüsselt man sie

30. März 2013 Kategorie: Backup & Security, Social Network, Windows, geschrieben von: caschy

Augen auf! Momentan passiert mit Facebook eine Sache, die auch schon Skype erwischt hat: das Verbreiten von Trojanern. Normalerweise würde ich jetzt sagen, dass das aktuelle Problem gar keines ist, denn halbwegs aktuelle Antiviren-Software sollte den Trojaner bereits erkennen. Aber mal von vorne: momentan bekommen viele Benutzer des Social Networks Facebook Nachrichten von Freunden, die folgenden Text beinhalten: “Your photos? LOL” – und dazu gibt es einen Link, der zum Download einer Exe-Datei auffordert. Hier sollten eigentlich schon die Alarmglocken läuten.

Facebook-Daumen-hoch

Und wenn das Hirn schon nicht geschaltet hat, dann sollte wenigstens der Virenscanner angeschlagen haben. Beide genannten Dinge lassen sich überlisten, denn sonst wäre „Trojaner-Dropper.Win32.Dorifel“ nicht wieder so erfolgreich. Was macht Trojaner-Dropper.Win32.Dorifel? Zuerst einmal musste er aktiviert werden. Nachricht kam an – Download – Ausführung der schädlichen Datei. Im Anschluss schnappt sich das Biest eure Dokumente und verschlüsselt diese. Ebenfalls wird Schadsoftware nachgeladen, die mal eben eventuell vorhandene Bankdaten wegfischt.

RTLO-example

Ist das Kind erst einmal in den Brunnen gefallen (was eigentlich recht schwer sein sollte), dann kann man hoffen, dass man ein aktuelles Backup hat, ansonsten muss man versuchen, die verschlüsselten Dokumente wieder zu entschlüsseln. Da Trojaner-Dropper.Win32.Dorifel bereits seit Mitte letzen Jahres aktiv und bekannt ist, gibt es ein Tool, welches die Daten wieder entschlüsseln soll. Diese Software ist portabel und kostenlos.

Mit der einfachen Ausführung prüft das Tool eine Infektion, kann aber auch direkt über die Kommandozeile aufgerufen und gestartet werden. Die einzelnen Parameter lassen sich der Homepage entnehmen. Normalerweise genügt ein Aufruf in Form von C:\Users\Carsten\Desktop\decrypt_dorifel.exe /all – quasi Pfad zur Datei mit dem Parameter /all. Hierbei werden alle Dateien gescannt. Der Parameter /del würde dafür sorgen, dass alle infizierten Dateien nach erfolgreicher Entschlüsselung gelöscht werden.

Solltet ihr also (hoffentlich nicht!) in diesem Fall um Hilfe gebeten werden, dann wisst ihr nun, was helfen könnte.


Vielen Dank für das Lesen dieses Blogs! Wenn ihr uns unterstützen wollt, dann schaut euch auch den HP Konfigurator an, welcher auf einer separaten Unterseite geschaltet wurde: HP Konfigurator. Außerdem haben wir noch Informationen über das HP ElitePad 1000 G2 und dieses verlosen wir auch!

Gefällt dir der Artikel?
Dann teile ihn mit deinen Freunden.
Nutze dafür einfach unsere Links:
Über den Autor: caschy

Hallo, ich bin Carsten! Dortmunder im Norden, Freund gepflegter Technik, BVB-Maniac und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin und YouTube. Neuerdings wieder mit persönlichem Blog.

Carsten hat bereits 17950 Artikel geschrieben.