• Auf dem Bildschirm kann eine Meldung mit der Forderung nach Sendung einer SMS zur Entschlüsselung von Daten angezeigt werden. Unten sehen Sie Beispiele verschiedener Modifikationen schädlicher Programme der Familie Trojan-Ransom.Win32.Xorist:

• Anstatt der Meldung kann eine Textdatei „Lies mich – So entschlüsseln Sie Ihre Daten“ im Stammordner des Datenträgers C erstellt werden.

 

Die Textdatei kann auch in der englischen Sprache angezeigt werden:

 

• Im Ordner mit Windows liegt die Datei CryptLogFile.txt.
  
• Der Trojaner verschlüsselt alle Dateien mit folgenden Erweiterungen:

doc, xls, docx, xlsx, db, mp3, waw, jpg, jpeg, txt, rtf, pdf, rar, zip, psd, msi, tif, wma, lnk, gif, bmp, ppt, pptx, docm, xlsm, pps, ppsx, ppd, tiff, eps, png, ace, djvu, xml, cdr, max, wmv, avi, wav, mp4, pdd, html, css, php, aac, ac3, amf, amr, mid, midi, mmf, mod, mp1, mpa, mpga, mpu, nrt, oga, ogg, pbf, ra, ram, raw, saf, val, wave, wow, wpk, 3g2, 3gp, 3gp2, 3mm, amx, avs, bik, bin, dir, divx, dvx, evo, flv, qtq, tch, rts, rum, rv, scn, srt, stx, svi, swf, trp, vdo, wm, wmd, wmmp, wmx, wvx, xvid, 3d, 3d4, 3df8, pbs, adi, ais, amu, arr, bmc, bmf, cag, cam, dng, ink, jif, jiff, jpc, jpf, jpw, mag, mic, mip, msp, nav, ncd, odc, odi, opf, qif, qtiq, srf, xwd, abw, act, adt, aim, ans, asc, ase, bdp, bdr, bib, boc, crd, diz, dot, dotm, dotx, dvi, dxe, mlx, err, euc, faq, fdr, fds, gthr, idx, kwd, lp2, ltr, man, mbox, msg, nfo, now, odm, oft, pwi, rng, rtx, run, ssa, text, unx, wbk, wsh, 7z, arc, ari, arj, car, cbr, cbz, gz, gzig, jgz, pak, pcv, puz, r00, r01, r02, r03, rev, sdn, sen, sfs, sfx, sh, shar, shr, sqx, tbz2, tg, tlz, vsi, wad, war, xpi, z02, z04, zap, zipx, zoo, ipa, isu, jar, js, udf, adr, ap, aro, asa, ascx, ashx, asmx, asp, aspx, asr, atom, bml, cer, cms, crt, dap, htm, moz, svr, url, wdgt, abk, bic, big, blp, bsp, cgf, chk, col, cty, dem, elf, ff, gam, grf, h3m, h4r, iwd, ldb, lgp, lvl, map, md3, mdl, mm6, mm7, mm8, nds, pbp, ppf, pwf, pxp, sad, sav, scm, scx, sdt, spr, sud, uax, umx, unr, uop, usa, usx, ut2, ut3, utc, utx, uvx, uxx, vmf, vtf, w3g, w3x, wtd, wtf, ccd, cd, cso, disk, dmg, dvd, fcd, flp, img, iso, isz, md0, md1, md2, mdf, mds, nrg, nri, vcd, vhd, snp, bkf, ade, adpb, dic, cch, ctt, dal, ddc, ddcx, dex, dif, dii, itdb, itl, kmz, lcd, lcf, mbx, mdn, odf, odp, ods, pab, pkb, pkh, pot, potx, pptm, psa, qdf, qel, rgn, rrt, rsw, rte, sdb, sdc, sds, sql, stt, t01, t03, t05, tcx, thmx, txd, txf, upoi, vmt, wks, wmdb, xl, xlc, xlr, xlsb, xltx, ltm, xlwx, mcd, cap, cc, cod, cp, cpp, cs, csi, dcp, dcu, dev, dob, dox, dpk, dpl, dpr, dsk, dsp, eql, ex, f90, fla, for, fpp, jav, java, lbi, owl, pl, plc, pli, pm, res, rnc, rsrc, so, swd, tpu, tpx, tu, tur, vc, yab, 8ba, 8bc, 8be, 8bf, 8bi8, bi8, 8bl, 8bs, 8bx, 8by, 8li, aip, amxx, ape, api, mxp, oxt, qpx, qtr, xla, xlam, xll, xlv, xpt, cfg, cwf, dbb, slt, bp2, bp3, bpl, clr, dbx, jc, potm, ppsm, prc, prt, shw, std, ver, wpl, xlm, yps, md3

So desinfizieren Sie das System:

1. Laden Sie die Datei XoristDecryptor.exe herunter und führen Sie sie auf dem betroffenen Computer aus.
2. Im Fenster Kaspersky XoristDecryptor klicken Sie auf Start scan.

Nachdem XoristDecryptor eine schädliche Datei erkannt hat, fordert es den Benutzer dazu auf, diese Datei an stopgpcode@kaspersky.com zu senden. Die Spezialisten von Kaspersky untersuchen die gesendete Datei und aktualisieren die Datenbanken des Tools XoristDecryptor Beim nächsten Start lädt das Tool die Datenbanken herunter und behebt die Infektion. 

Indem Sie Informationen über eine schädliche Datei an Kaspersky senden, lösen Sie nicht nur Ihr eigenes Problem sondern sie helfen auch anderen Benutzern, die auf Lösegeld-Trojaner gestoßen haben. 

Wenn das Tool XoristDecryptor die betroffenen Dateien nicht entschlüsseln konnte, versuchen Sie es mit Tools RectorDecryptor und RakhniDecryptor.  

Um die Infektion in Zukunft auszuschließen, installieren Sie die neuesten Kaspersky-Apps.