Trojaner Dorifel verbreitet sich über Facebook und verschlüsselt Dokumente – so entschlüsselt man sie
von caschy | 18 Kommentare
Augen auf! Momentan passiert mit Facebook eine Sache, die auch schon Skype erwischt hat: das Verbreiten von Trojanern. Normalerweise würde ich jetzt sagen, dass das aktuelle Problem gar keines ist, denn halbwegs aktuelle Antiviren-Software sollte den Trojaner bereits erkennen. Aber mal von vorne: momentan bekommen viele Benutzer des Social Networks Facebook Nachrichten von Freunden, die folgenden Text beinhalten: “Your photos? LOL” – und dazu gibt es einen Link, der zum Download einer Exe-Datei auffordert. Hier sollten eigentlich schon die Alarmglocken läuten.
[werbung]
Und wenn das Hirn schon nicht geschaltet hat, dann sollte wenigstens der Virenscanner angeschlagen haben. Beide genannten Dinge lassen sich überlisten, denn sonst wäre „Trojaner-Dropper.Win32.Dorifel“ nicht wieder so erfolgreich. Was macht Trojaner-Dropper.Win32.Dorifel? Zuerst einmal musste er aktiviert werden. Nachricht kam an – Download – Ausführung der schädlichen Datei. Im Anschluss schnappt sich das Biest eure Dokumente und verschlüsselt diese. Ebenfalls wird Schadsoftware nachgeladen, die mal eben eventuell vorhandene Bankdaten wegfischt.
Ist das Kind erst einmal in den Brunnen gefallen (was eigentlich recht schwer sein sollte), dann kann man hoffen, dass man ein aktuelles Backup hat, ansonsten muss man versuchen, die verschlüsselten Dokumente wieder zu entschlüsseln. Da Trojaner-Dropper.Win32.Dorifel bereits seit Mitte letzen Jahres aktiv und bekannt ist, gibt es ein Tool, welches die Daten wieder entschlüsseln soll. Diese Software ist portabel und kostenlos.
Mit der einfachen Ausführung prüft das Tool eine Infektion, kann aber auch direkt über die Kommandozeile aufgerufen und gestartet werden. Die einzelnen Parameter lassen sich der Homepage entnehmen. Normalerweise genügt ein Aufruf in Form von C:\Users\Carsten\Desktop\decrypt_dorifel.exe /all – quasi Pfad zur Datei mit dem Parameter /all. Hierbei werden alle Dateien gescannt. Der Parameter /del würde dafür sorgen, dass alle infizierten Dateien nach erfolgreicher Entschlüsselung gelöscht werden.
Solltet ihr also (hoffentlich nicht!) in diesem Fall um Hilfe gebeten werden, dann wisst ihr nun, was helfen könnte.
Wird geladen ...
Das schlimme an der Sache is eigentlich, dass ich Leute kenne, denen so was regelmässig passiert…
Und das sind dann genau die Leute, die Virenkiller und Malmarescanner zu deinstallieren, nachdem man selbst den Rechner aufgeräumt hat. „Ach, die Software brauchte ich eh nicht.“ Äh…. doch. Ausgerechnet Du. Da mir das jetzt ein, zwei Mal zu oft passiert ist, „helfe“ ich den Leuten nur noch auf eine Art: Kaufberatung für ein System, mit dem das nicht passiert. Sprich: Tablet (normalerweise das eines bestimmten Herstellers, weil ich so wenig Folgeaufwand wie möglich will) plus Tastaturcover, wenn längere Texte geschrieben werden sollten. Die Lösung ist für diese Zielgruppe inzwischen ein vollwertiger Computer mit den geringsten Problemen – für sie selber und damit auch für mich. Wer weiss, warum er einen „richtigen“ Computer mit all seinen Problemen braucht, der ist normalerweise nicht so dämlich, auf solche Trojaner reinzufallen.
M.E. ist viel schlimmer, dass es gerade bei Facebook eine hohe Nutzer-Quote gibt, die auf sowas hereinfällt. Aber egal wo man hinschaut, Social Engineering spielt eine immer wichtigere Rolle und man muss am Ball bleiben um die Leute dagegen zu sensibilisieren.
„viel schlimmer, dass es gerade bei Facebook eine hohe Nutzer-Quote gibt, die auf sowas hereinfällt“
es sind doch gerade die, die darauf reinfallen. nicht umsonst wird sowas über das fratzenbuch erfolgreich verteilt.
Gibt Leute, denen sollte man die DSL-Leitung kappen
@Micha: jep, zu dem Thema gab es auch von Spiegel TV (glaub ich) mal ’ne Aktion, wie einfach sich genutzte Facebook Apps Zugriff auf die eigenen Inhalte verschaffen können bzw. besser gesagt, wie unvorsichtig und naiv viele Nutzer den Programmen diese Rechte gewähren. Da wird es in der Zukunft noch zu einem radikalen Umdenken kommen müssen!
Gibt es Probleme hier? Letzter Beitrag wurde nicht genommen. Invalid ID ….
Also das gab es schon da war an Facebook und ko noch nicht mal zu denken. Damals hieß es schon Extension unter Windows immer anzeigen lassen. Wer einfach alles anklickt dem gehört es einfach nicht besser. Mal sehen wann das wieder kommt: Ich habe Fotos von Deiner Freundin in Verräterischen Posen gemacht usw. Ich der gleiche Kram.
Ist man als Mac User auch irgendwie betroffen oder gibt es solche Trojaner auch für Mac derzeit?
Es ist ein weit verbreiteter Irrtum, dass Mac-User vor Malware gefeit wären.
Internet Führerschein für jeden ab 6 Jahren, zwei mal die Wochen bis zum Schulende.
Ich glaube auf Facebook passiert noch viel mehr in der Hinsicht, was aber nicht entdeckt wird.
Das Traurige ist doch, das die Leute einfach verblöden und nicht einmal mehr die .exe-Endung kennen – und die angebliche Nichtnotwendigkeit dessen auch noch als „Fortschritt“ und „Usability“ gepriesen wird, manche Hersteller lassen sich diese angebliche Einfachheit ja auch noch durch hohe Preise entlohnen. Würde ein Autofahrer nicht wissen wie man das Lenkrad bedient, nur weil ein Navi eingebaut, fänden wir das komisch. Bei einem PC-Nutzer ist ähnliches Verhalten ganz normal.
@Michael: Das ist ja eigentlich total schnurz, wer so blöd ist seine Daten zu verschenken, muss mit den Konsequenzen leben, zahlt ggf. Lehrgeld und passt in Zukunft besser auf. Das Schlimme an Apps auf Smartphones und Social Networks ist, das man durch die eigene Entscheidung die Daten von Freunden ungefragt weitergibt…die Wall der Freunde, die Handynummer aus dem Adressbuch etc. Kluge Spammer müllen nicht das eigentliche Opfer zu, sondern nur dessen Kontakte, so bleibt der Übeltäter für den unwissenden User unbemerkt.
Pierre: „Ist man als Mac User auch irgendwie betroffen oder gibt es solche Trojaner auch für Mac derzeit?“
Bei diesem Kommentar sieht man, daß Mac-User eher so semi-intelligent sind.
Mir fällt leider bei solchen Mac Kommentaren auf, das sich viele Mac Nutzer nicht im klaren sind, das die Sicherheitslücken oft in der Drittsoftware enthalten sind. Also Browser, Flash, andere Programme. Da nützt einem auch ein noch so gutes Betriebssystem nichts, wenn es an einer anderen Stelle schon hakt
Schon das Abspeichern in den vom System dafür „vorgesehenen“ Ordnern ist ein Schritt in die Gefährdung. Besser, man lagert die Daten in selber angelegten Verzeichnissen – ein Tipp, der früher zu den Basics gehörte, mittlerweile aber offenbar in Vergessenheit geraten ist.
@Claudia: mache ich schon Jahr und Tag so. Habe meine Dokumente/Musik etc alle in anderen Ordnern abgelegt und auch nicht auf der Windows-Partition. So hab ich kein Stress wenn ich Windows mal neu aufsetzen muß
Der gesunde Menschenverstand scheidet leidet zu oft aus. Genauso wie die angeblichen UPS-Rechnungen in einem ZIP-File. Verstehe auch nicht, wie man auf diese Mails in furchtbarem Englisch reinfallen kann.
Wer einfach so Dateien von fremden herunterlädt dem ist leider auch nicht mehr zu helfen!