Gpcode Erpresser-Virus Entschlüsselung nur gegen Bares

Dem Sicherheitsanbieter Kaspersky ist aufgefallen, dass der Gpcode-Virus wieder häufiger im Netz sein Unwesen treibt. Hat sich die bösartige Software erst mal auf einem Rechner eingenistet, entfaltet der Virus Win32.Gpcode sein ganzes Potenzial. Er durchsucht die Festplatte unter anderem nach Textdokumenten und Bildern und verschlüsselt diese dann mit einem 1024-Bit-Key. Möchte der User seine Daten wieder im Urzustand, so muss er dafür bezahlen.

Mit Vorliebe krallt sich der Virus Textdateien mit den Endungen doc, txt und pdf. Gerne auch mal ein paar Bilder in den Formaten jpg und png. Sollte er zufällig auch auf ein xls (Excel) Dokument stoßen, wird dieses auch gleich unbrauchbar gemacht. Verschlüsseln kann er zwar jede Datei, aber am liebsten greift er zu den oben genannten.Selbst für jemanden, der auf dem Gebiet der Verschlüsselung firm ist, wird es sicherlich kein Kinderspiel sein diese Daten wiederherzustellen. Ganz zu schweigen von einem unerfahrenen Benutzer. Der Gpcode hat zwar Böses im Sinn, aber er bietet auch die Möglichkeit, die mit 1024-Bit verschlüsselten Dokumente wieder in den Original-Zustand zu versetzen. Allerdings nur, wenn dafür bezahlt wird. Nach der Vollendung der Tat fügt der Virus noch eine eigene Textdatei mit einer Kontakt-E-Mail ein. Wer seine Daten wieder haben möchte, sollte sich an diese Adresse wenden. Gegen Bezahlung gibt es dann die entsprechende Entschlüsselungs-Software. Als sich der Virus vor einiger Zeit schon einmal im Netz herumtrieb, konnte er "nur" mit 660-Bit verschlüsseln.

Es scheint, als hätte der Entwickler nun jedoch mehr Zeit in sein Projekt gesteckt und konnte den Algorithmus auf 1024-Bit anheben und einige Verbesserungen im Code vornehmen. Ein Rechner, der über 2.2 GHz Prozessorleistung verfügt, würde ungefähr 30 Jahre benötigen, um den 660er-Code zu entschlüsseln. Bislang ist es den Forschern von Kaspersky nicht gelungen, den neuen Standard zu cracken. Es war ihnen ebenfalls nicht möglich, einen Fehler im Programm zu finden und diesen zum eigenen Vorteil zu nutzen. Somit bleibt bisher nur ein Weg, um wieder an die Daten zu gelangen. Und das ist mit dem privaten Schlüssel des Autors, den es nur gegen Bezahlung gibt. Folgende Nachricht wird den Geschädigten dann hinterlassen:

"Your files are encrypted with RSA-1024 algorithm.

To recovery your files you need to buy our decryptor.

To buy decrypting tool contact us at: ********@yahoo.com"

Das Team von Kaspersky empfiehlt, den Rechner nach der Infektion weder neu zu starten noch auszuschalten. Man sollte sich an eine spezielle Kontakt-Adresse von Kaspersky wenden. Der Hersteller verspricht Hilfestellung bei der Wiederherstellung. Es ist fraglich, wie sie das beim aktuellen Stand der Dinge in die Tat umsetzen wollen.

(via net-security.org, thx)

 

• 53 Kommentare zum Artikel

Zitat: Zitat von money  ich weiß nicht fest steht nur eins nach dem komplet scan ist der halbe rechner infiziert -.- da lässt man den vadda kurz ran und schon sind alle exen infiziert http://support.microsoft.com/kb/905056/de

Dexter am 08.06.2008 22:24

Zum Glück passe ich ja auf und lasse so gut wie gar keinen Virus rein. Zudem habe ich auch noch einen guten und kostenlosen Virenscanner.

eliveo am 09.06.2008 10:34

Zitat: Zitat von eliveo  Zudem habe ich auch noch einen guten und kostenlosen Virenscanner. Welchen? MfG Andy

titus_shg am 09.06.2008 11:26

Hm...haben sie nicht in Russland den einen Spammer erschossen ? Der hier hätts noch eher verdient.

Third Life am 09.06.2008 13:02

[...] Diskussion lesen oder Artikel kommentieren