Der Trojaner TeslaCrypt versieht verschlüsselte Dateien nur mit der Dateiendung .mp3, sodass aus beispielsweise Datei.doc zu Datei.doc.mp3 wird. Dies soll alle Dateien betreffen, bei denen der Benutzer Schreibrechte besitzt, also Dateien im Benutzerprofil und Dateien, die auf einer Freigabe im Netz liegen. Die Erpresser fordern, wie auch bei den Vorgängern, Lösegeld für den Zugang zu den verschlüsselten Dateien: "All of your files were protected by a strong encryption".

Der Trojaner kommt meistens per E-Mail auf den Rechner, das kann sich aber jederzeit ändern. Einige Viren-Scanner melden die infizierende Datei bereits als "Win32.TeslaCrypt3". Es handelt sich wohl um eine modifizierte Version von TeslaCrypt3, die bisher Dateien mit den Endungen .ttt, .xxx, oder .micro produzierte.

Auch hier gibt es, wie bei den anderen TeslaCrypt-3-Dateien, noch keine Möglichkeit, die gekaperten Daten zu entschlüsseln. Nur Dateien mit den Endungen .aaa, .abc, .ccc, .ecc, .exx, .vvv, .xyz oder .zzz, die TeslaCrypt 2 und seine Vorgänger erzeugt haben, können mit dem kürzlich veröffentlichten TeslaDecoder entschlüsselt werden. heise Security gelang es vor kurzem, mit dem TeslaDecoder die Dateien eines TeslaCrypt-Opfers wiederherzustellen.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE