Kaspersky bekämpft Datenerpresser

Maxim Roubintchik,
SicherheitVirus

Es gibt eine Bezeichnung für die modernste Art der Erpressung: Ransomware heißen die Schädlinge, die auf Opfer-Rechnern Dateien oder ganze Partitionen verschlüsseln. Sie werden von Erpressern geschrieben, die die Betroffenen anschließend per Mail vor eine simple Wahl stellen: Geld her oder Daten weg. Sie haben im Grunde kein Interesse an den Dateien selbst, sondern lassen sich die Zusendung des Passworts zum Entschlüsseln bezahlen. Seit Anfang der 90er Jahre taucht immer wieder Ransomware auf, einer der ersten Schädlinge dieser Art war Troj_Pgpcoder. Allerdings waren die Erpressungsversuchen bislang kaum erfolgreich. Einerseits wurden zu schwache Verschlüsselungs-Algorithmen eingesetzt, andererseits flogen die Hintermänner oft bei der »Geldübergabe« auf.

Anfang Juni warnte Kaspersky allerdings vor Gpcode, einer Malware-Variante, die von Virenscannern zwar erkannt wird, es aber in sich hat: Er schnappt sich alle Dateien der Typen DOC, TXT, PDF, XLS, JPG, PNG und CPP, die er auf Opfer-Festplatten findet und verschlüsselt sie per RSA-Algorithmus, und zwar richtig: Der Schlüssel hat eine Länge von 1024 Bit. Insbesondere Unternehmen sind die Zielgruppe von Gpcode: Die brauchen ihre Dateien zwar ebenso dringend wie Privatanwender, zahlen aber — eventuell unter Zeitdruck stehend — ab und an das Lösegeld. Kaspersky bat zunächst die Web-Gemeinde um Hilfe bei der Entschlüsselung.

Nun haben die Sicherheitsexperten einen Weg gefunden, Dateien nach einer Gpcode-Attacke wiederherzustellen. Es genügt ein Tool zur Wiederherstellung gelöschter Dateien. Gpcode.ak erstellt laut Kaspersky eine neue Datei parallel zu der, die er kapern möchte. In die neue Datei kommen die verschlüsselten Daten, das Ursprungsfile wird gelöscht. Ist auf der Festplatten nicht allzu viel verändert worden, kann man die ursprüngliche Datei wieder herstellen.

Die Virenanalysten bieten hierzu das Gratis-Tool PhotoRec an. Wie genau die manuelle Wiederherstellung funktioniert, darüber informiert Kaspersky auf Viruslist.com. (tkr/Maxim Roubintchik)

Tom’s Hardware

Lesen Sie auch :

Deutsche werden am intensivsten mit Spam bombardiert

Android-Malware Switcher hackt WLAN-Router und ändert das DNS

Kaspersky baut “unknackbares” Betriebssystem