Es handelt sich um ein besonders perfides Stück Schadcode: Während man nichtsahnend am Computer arbeitet, informiert ein Dialog-Fenster den Nutzer darüber, dass wichtige Dateien soeben verschlüsselt wurden. Interesse an einer Dekodierung? Dann möge sich der Anwender an eine bestimmte E-Mail-Adresse wenden, um die Kosten für eine passende Dechiffrierungs-Software in Erfahrung zu bringen.
Dokumente im Visier
Der Win32.Gpcode.ak genannte Virus, vor dem die Analysten von Kaspersky Labs derzeit dringend warnen, hat es in erster Linie auf Dateien in den Formaten DOC, TXT, PDF, XLS, JPG, PNG und CPP abgesehen – also auf Dokumente, Tabellen und Bilder. Die Verschlüsselung geschieht mittels eines RSA-Algorithmus, ein in diesem Fall 1024 Bit starkes Kodierungssystem, das auf einem öffentlichen und einem privaten Schlüssel basiert. Ein Entwickler von Kaspersky teilt dazu mit: "Gpcode verschlüsselt Dateien auf dem Rechner des Opfers, indem der öffentliche Schlüssel benutzt wird. Einmal kodiert, können die Daten einzig durch den Nutzer wieder hergestellt werden, der über den privaten Schlüssel verfügt – was in diesem Fall der Autor des Virus ist."
Gpcode 2.0: ohne Fehler, mit besserer Verschlüsselung
Gpcode ist
kein Unbekannter. Schon 2006 hatte eine erste Version des "Erpresser-Virus" bei Kaspersky für allerlei Kopfzerbrechen gesorgt: Letztlich kamen die Entwickler dem genauen Codes des privaten Schlüssels auf die Schliche und konnten die kodierten Dateien wieder dechiffrieren – allerdings nur, weil die Verschlüsselung seinerzeit mit 660 Bits vergleichweise einfacher war und dem Gpcode-Erfinder zudem einige Fehler beim Programmieren unterlaufen waren. "Der Autor hat dieses Mal zwei Jahre gewartet, ehe er eine neue, verbesserte Version des Dateiverschlüsselers hervorbrachte. Mit Gpcode.ak machte er nicht dieselben Fehler wie in der Vorversion des Virus", lässt Kaspersky mitteilen.
15 Millionen Computer für die Entschlüsselung benötigt
Mittlerweile wurden die Signaturen zum Entdecken und Aussperren des Virus aktualisiert – eine Lösung zur Dekodierung der gewaltsam verschlüsselten Dateien liegt allerdings noch in weiter Ferne. "Wir – wie auch andere Antivirus-Unternehmen – sehen uns mit der Aufgabe konfrontiert einen RSA-Schlüssel mit 1024 Bit zu cracken. Das ist eine riesige kryptographische Herausforderung. Wie wir schätzen, ist dafür die Rechenkapazität von rund 15 Millionen modernen Computer nötig, die ein Jahr lang laufen." Daher hat Kaspersky einen
Aufruf gestartet, in dem Nutzer, private Entwickler und wissenschaftliche Einrichtungen um Mithilfe bei der Entschlüsselung gebeten werden.
._CRYPT hinter den Dateinamen: Von Gpcode verschlüsselte Dokumente. Bild: Kaspersky
Wer feststellt, dass sein System von einem Gpcode-Angriff betroffen ist, sollte in keinem Fall den Rechner herunterfahren oder neu starten. Stattdessen wird der Nutzer gebeten, sich von einem uninfizierten Computer aus an Kaspersky per
E-Mail zu wenden. In der Mitteilung sollte sowohl Datum und Zeit der Infektion vermerkt werden. Außerdem sollte sie eine Liste von Websites und Programmen beinhalten, die vor der Infektion besucht oder ausgeführt wurden. Die Analysten von Kaspersky Lab werden dann mit dem Nutzer in Kontakt treten und versuchen, bei der Datenwiederherstellung behilflich zu sein.
Bis ein effektiver Schutzmechanismus gegen Gpcode entwickelt wurde, lohnt sich ein Blick in das
Spezial für PC-Sicherheit bei onlinekosten.de: Dort sind aktuelle Nachrichten und Ratgeber rund um digitale Bedrohungen durch Viren, Trojaner und Phishing-Attacken zu finden.
Meldung empfehlen
News
