• Auf dem Bildschirm kann eine Meldung mit der Forderung nach Sendung einer SMS zur Entschlüsselung von Daten angezeigt werden. Unten sehen Sie Beispiele verschiedener Modifikationen schädlicher Programme der Familie Trojan-Ransom.Win32.Xorist:

• Anstatt der Meldung kann eine Textdatei „Lies mich – So entschlüsseln Sie Ihre Daten“ im Stammordner des Datenträgers C erstellt werden.

  

Die Textdatei kann auch in der englischen Sprache angezeigt werden:

 

• Im Ordner mit Windows liegt die Datei CryptLogFile.txt.
  
• Der Trojaner verschlüsselt alle Dateien mit folgenden Erweiterungen:

doc, xls, docx, xlsx, db, mp3, waw, jpg, jpeg, txt, rtf, pdf, rar, zip, psd, msi, tif, wma, lnk, gif, bmp, ppt, pptx, docm, xlsm, pps, ppsx, ppd, tiff, eps, png, ace, djvu, xml, cdr, max, wmv, avi, wav, mp4, pdd, html, css, php, aac, ac3, amf, amr, mid, midi, mmf, mod, mp1, mpa, mpga, mpu, nrt, oga, ogg, pbf, ra, ram, raw, saf, val, wave, wow, wpk, 3g2, 3gp, 3gp2, 3mm, amx, avs, bik, bin, dir, divx, dvx, evo, flv, qtq, tch, rts, rum, rv, scn, srt, stx, svi, swf, trp, vdo, wm, wmd, wmmp, wmx, wvx, xvid, 3d, 3d4, 3df8, pbs, adi, ais, amu, arr, bmc, bmf, cag, cam, dng, ink, jif, jiff, jpc, jpf, jpw, mag, mic, mip, msp, nav, ncd, odc, odi, opf, qif, qtiq, srf, xwd, abw, act, adt, aim, ans, asc, ase, bdp, bdr, bib, boc, crd, diz, dot, dotm, dotx, dvi, dxe, mlx, err, euc, faq, fdr, fds, gthr, idx, kwd, lp2, ltr, man, mbox, msg, nfo, now, odm, oft, pwi, rng, rtx, run, ssa, text, unx, wbk, wsh, 7z, arc, ari, arj, car, cbr, cbz, gz, gzig, jgz, pak, pcv, puz, r00, r01, r02, r03, rev, sdn, sen, sfs, sfx, sh, shar, shr, sqx, tbz2, tg, tlz, vsi, wad, war, xpi, z02, z04, zap, zipx, zoo, ipa, isu, jar, js, udf, adr, ap, aro, asa, ascx, ashx, asmx, asp, aspx, asr, atom, bml, cer, cms, crt, dap, htm, moz, svr, url, wdgt, abk, bic, big, blp, bsp, cgf, chk, col, cty, dem, elf, ff, gam, grf, h3m, h4r, iwd, ldb, lgp, lvl, map, md3, mdl, mm6, mm7, mm8, nds, pbp, ppf, pwf, pxp, sad, sav, scm, scx, sdt, spr, sud, uax, umx, unr, uop, usa, usx, ut2, ut3, utc, utx, uvx, uxx, vmf, vtf, w3g, w3x, wtd, wtf, ccd, cd, cso, disk, dmg, dvd, fcd, flp, img, iso, isz, md0, md1, md2, mdf, mds, nrg, nri, vcd, vhd, snp, bkf, ade, adpb, dic, cch, ctt, dal, ddc, ddcx, dex, dif, dii, itdb, itl, kmz, lcd, lcf, mbx, mdn, odf, odp, ods, pab, pkb, pkh, pot, potx, pptm, psa, qdf, qel, rgn, rrt, rsw, rte, sdb, sdc, sds, sql, stt, t01, t03, t05, tcx, thmx, txd, txf, upoi, vmt, wks, wmdb, xl, xlc, xlr, xlsb, xltx, ltm, xlwx, mcd, cap, cc, cod, cp, cpp, cs, csi, dcp, dcu, dev, dob, dox, dpk, dpl, dpr, dsk, dsp, eql, ex, f90, fla, for, fpp, jav, java, lbi, owl, pl, plc, pli, pm, res, rnc, rsrc, so, swd, tpu, tpx, tu, tur, vc, yab, 8ba, 8bc, 8be, 8bf, 8bi8, bi8, 8bl, 8bs, 8bx, 8by, 8li, aip, amxx, ape, api, mxp, oxt, qpx, qtr, xla, xlam, xll, xlv, xpt, cfg, cwf, dbb, slt, bp2, bp3, bpl, clr, dbx, jc, potm, ppsm, prc, prt, shw, std, ver, wpl, xlm, yps, md3.

Um ein befallenes System zu desinfizieren, gehen Sie wie folgt vor:

1. Laden Sie die Datei XoristDecryptor.exe herunter und führen Sie sie auf dem betroffenen Computer aus.
2. Im Fenster Kaspersky XoristDecryptor klicken Sie auf Start scan.

Nachdem XoristDecryptor eine schädliche Datei erkannt hat, fordert es den Benutzer dazu auf, diese Datei an stopgpcode@kaspersky.com zu senden. Die Spezialisten von Kaspersky untersuchen die gesendete Datei und aktualisieren die Datenbanken des Hilfsprogramms XoristDecryptor Beim nächsten Start lädt das Hilfsprogramm die Datenbanken herunter und behebt die Infektion. 

Indem Sie Informationen über eine schädliche Datei an Kaspersky senden, lösen Sie nicht nur Ihr eigenes Problem sondern sie helfen auch anderen Benutzern, die auf Lösegeld-Trojaner gestoßen haben. 

Wenn das Hilfsprogramm XoristDecryptor die betroffenen Dateien nicht entschlüsseln konnte, versuchen Sie es mit den Hilfsprogrammen RectorDecryptor und RakhniDecryptor.  

Um die Infektion in Zukunft auszuschließen, installieren Sie Kaspersky Internet Security mit dem Schutz vor Ransomware. Die Anleitung finden Sie im Artikel.