Menü

Dateiendung .zcrypt: Microsoft warnt vor wurmartigem Erpressungstrojaner

Die Ransomware ZCryptor verbreitet sich von System zu System, indem der Trojaner sich im Autostart von USB-Sticks einnistet. Sie verschlüsselt über 80 verschiedene Dateitypen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 58 Beiträge

(Bild: Microsoft)

Von

Microsoft warnt Nutzer vor einem neu entdeckten Erpressungstrojaner namens ZCryptor. Der Schädling verhält sich eigentlich wie viele andere Ransomware-Programme, hat aber die besonders perfide Eigenheit, sich auch auf eingesteckte USB-Laufwerke und -Sticks zu kopieren. Indem sich ZCryptor in die Autostart-Datei der Laufwerke einklinkt, verbreitet er sich wurmartig von System zu System.

ZCryptor befällt Dateien mit über 80 verschiedenen Endungen und benennt sie nach dem Verschlüsseln in .zcrypt um. Momentan ist keine Möglichkeit bekannt, diese Daten nach der Verschlüsselung zu retten. Es helfen also nur Vorsichtsmaßnahmen wie etwa eine gute Backup-Strategie.

nachgehakt: Wie schützt man sich vor Erpressungstrojanern? [c't 27/12]

Laut Microsoft infizieren sich Anwender in der Regel, indem sie den Trojaner aus dem Netz herunterladen – zum Beispiel als Teil einer Phishing-Mail. Oft ist der Trojaner mit Hilfe bösartiger Makros in einem Office-Dokument getarnt. Ein anderer Infektionsweg sind gefälschte Adobe-Flash-Installationsprogramme, die der Nutzer auf dubiosen Webseiten präsentiert bekommt. Die installierte Schadsoftware namens zcrypt.exe versteckt sich mittels Datei-Attributen, damit der Nutzer sie nicht im Dateibrowser finden kann.

Eine detaillierte Beschreibung der Trojaner-Eigenschaften findet sich in einem Technet-Eintrag des Microsoft Malware Protection Center. (fab)