Facebook-Trojaner Dorifel verschlüsselt eure Daten - so entschlüsselt ihr sie wieder

Augen auf: Facebook ist mal wieder Ziel (bzw. Mittel) für Kriminelle geworden. Dieses Mal werden jedoch nicht nur einfach eure Daten gesammelt und eifrig herumgespamt wie bei den Pseudo-Gewinnspielen mit Apple und Samsung Produkten vor kurzem, sondern es handelt sich hierbei um den Trojaner Dorifel, der sich per Facebook-Messenger mit den Worten “Your photos? LOL” und einem Link zu einer ausführbaren Datei verbreitet.

dorifel-RTLO-exampleSolltet ihr nicht schon bei der ausführbaren exe-Datei aufmerksam werden, so sollte wenigstens ein aktueller Virenscanner den Trojaner Trojaner-Dropper.Win32.Dorifel erkennen. Nicht desto trotz scheinen ja genügend Nutzer das entweder zu ignorieren oder einfach nicht mal einen simplen Virenscanner zu haben, denn sonst wäre der ja wohl kaum so erfolgreich. Wenn sich der Trojaner erst einmal eingenistet hat, dann verschickt er sich erst einmal eifrig an eure Facebook-Kontakte, lädt Schadsoftware zum Fishing von euren Bankdaten herunter und verschlüsselt schließlich noch eure Dokumente und ausführbare Dateien. So wird beispielsweise aus dem Word-Dokument Vertrag.doc dann ein Vertragrcs.doc.

Da der Trojaner schon ein wenig länger kursiert und glücklicherweise wirklich nur verschlüsselt, gibt es ein kostenloses, portables Tool, welches sowohl auf eine mögliche Infektion testet als auch eure Dateien wieder herstellt. Das Tool könnt ihr einfach per Kommando-Zeile ausführen (Start -> Ausführen -> cmd) und dann beispielsweise C:UsersPascalDesktopdecrypt_dorifel.exe /all (den Dateipfad müsst ihr natürlich anpassen). Sicherheitshalber solltet ihr auch vorher die Verbindung mit dem Internet kappen. Neben der vollautomatischen Lösung mit dem Parameter /all gibt es noch weitere Möglichkeiten, die ihr der Website des Tools entnehmen könnt.

Solltet ihr also selber von dem Trojaner befallen sein, teilt am besten diese Anleitung mit euren Freunden, denn die Chancen stehen leider nicht schlecht, dass es einige von ihnen ebenfalls erwischt hat.

Und für alle technisch interessierten: der Trojaner nutzt den Wechsel von Schriftrichtungen wie beispielsweise im arabischen oder hebräischen per Unicode-Symbol +202e aus um die geänderte Dateiendung zu verschleiern. Diese Technik wird auch bei Email-Viren gerne eingesetzt, da im Mailprogramm dann nur eine harmlose Dateiendung angezeigt wird.

Pascal
ist seit 2010 bei Appexam als Autor tätig. Als bekennender Technikfan ist er immer auf der Suche nach neuen Spielzeugen und offen für unabhängige Tests. Auch zu finden auf Google+

Deine Meinung?

© 2013 Appexam. All rights reserved. ·
Powered by WordPress · Designed by Theme Junkie
   •    Portfolio   •   Kooperationen   •   Reviews   •   Kontakt   •   Autoren  •   Impressum