Seit gestern gehen Leser-Hinweise auf verschlüsselte Dateien mit der Endung .mp3 in der Redaktion ein. Die scheint eine neue Variante des Verschlüsselungs-Trojaners TeslaCrypt zu erzeugen.
Der Trojaner befällt nicht etwa Audiodateien, sondern versieht verschlüsselte Dateien nur mit der Dateiendung; aus Tagebuch.doc wird so Tagebuch.doc.mp3. Leser berichten, dass das alle Dateien betrifft, für welche ein Benutzer Schreibrechte besitzt, also sowohl Dateien in seinem Benutzerprofil als auch solche, die auf einer Freigabe im Netz liegen. Wie auch bei den Vorgängern fordern die Erpresser Lösegeld für den Zugang zu den verschlüsselten Dateien: "All of your files were protected by a strong encryption".
Häufig kommt der Schädling per Mail auf den Rechner, das kann sich aber jederzeit ändern. Manche Viren-Scanner springen auf die infizierende Datei bereits an und melden etwas wie "Win32.TeslaCrypt3". Das deutet darauf hin, dass es sich um eine modifizierte Version von TeslaCrypt3 handelt, die bislang Dateien mit den Endungen .xxx, .ttt, oder .micro produzierte.
Wie bei den anderen TeslaCrypt-3-Dateien gibt es bislang keine Möglichkeit, die gekaperten Daten zu entschlüsseln. Der kürzlich veröffentlichte TeslaDecoder funktioniert lediglich mit Dateien mit der Endung .aaa, .abc, .ccc, .ecc, .exx, .vvv, .xyz oder .zzz wie sie TeslaCrypt 2 und seine Vorgänger erzeugt haben. Mit dem TeslaDecoder gelang es heise Security erst kürzlich, die Dateien eines TeslaCrypt-Opfers wiederherzustellen.