Erpresservirus austricksen, Dateien wieder herstellen (Update: AV-Erkennung)

Die Verbreitungswege des kürzlich entdeckten Expresservirus Gpcode.ak sind noch nicht abschließend geklärt. Es wird angenommen, dass er über Links zu Blogs propagiert wird, die in Foren und Newsgroups gepostet werden. Insgesamt ist die Verbreitung recht gering. Sollten Sie dennoch Opfer dieses Schädlings werden, sind Ihre Dateien noch nicht verloren, wenn Sie schnell genug richtig handeln. Der Antivirus-Hersteller Kaspersky Lab hat dazu eine Anleitung bereit gestellt, die Sie auch für andere Fälle verwenden können - etwa um versehentlich gelöschte Dateien zu retten.

Kaspersky Lab hat nach der Entdeckung der neuen Gpcode-Version zum gemeinschaftlichen Schlüssel-Knacken aufgerufen. Dabei geht es nicht so sehr darum den 1024-Bit starken RSA-Schlüssel durch vollständige Faktorisierung zu brechen. Denn dies erscheint mit der derzeit verfügbare Rechenleistung unrealistisch. Vielmehr sollen Krypto-Fachleute und Antivirus-Firmen mithelfen, Schwachstellen in der Implementierung der Verschlüsselungsmethode im Virus zu entdecken. Würde ein Fehler gefunden, könnte die Ermittlung des Dechiffrierschlüssels gelingen.

Die beste Methode, um nicht zum Opfer des Erpressers zu werden, ist ein aktueller Virenscanner, gepaart mit regelmäßigen Backups auf einem externen Speichermedium. Ist der Schaden einmal eingetreten und haben Sie keine Backups, sollten Sie umgehend handeln. Lassen Sie den betroffenem Rechner eingeschaltet und stoppen Sie jede Tätigkeit, die Daten auf die Festplatte schreibt. Nur solange die vom Virus gelöschten Dateien noch nicht mit neuen Daten überschrieben wurden, lassen sie sich wieder herstellen.

Der Schädling Gpcode.ak liest die Dateien aus und schreibt eine verschlüsselte Kopie auf die Festplatte. Dann löscht er die unverschlüsselten Dateien, zeigt seine Erpressermeldung an und löscht sich dann auch selbst. Die geölschten Dateien überschreibt er jedoch nicht. Mit einem Programm, das gelöschte Dateien wieder restaurieren kann, ist daher eine Rettung möglich. Kaspersky Lab empfiehlt zu diesem Zweck die Software "PhotoRec", die Teil des Pakets "TestDisk" (http://www.cgsecurity.org) ist. PhotoRec und TestDisk sind Open Source, können also uneingeschränkt und kostenlos benutzt werden. Viele andere Programme, die gelöschte Daten restaurieren können, sind Shareware oder nur für private Zwecke kostenlos.

Benutzen Sie unbedingt einen zweiten, nicht infizierten Rechner zum Download von TestDisk sowie des von Kaspersky Lab erstellten Programms "StopGpcode". Sie würden andernfalls Gefahr laufen die zu rettenden Dateien zu überschreiben. Speichern Sie die Programme auf einem externen Datenträger, am besten auf einer USB-Festplatte. Schließen Sie diese nun an den infizierten PC an. Da sich Gpcode bereits selbst gelöscht hat, besteht für die Dateien auf dem Laufwerk keine Gefahr.

Legen Sie auf dem USB-Laufwerk ein neues Verzeichnis für die geretteten Daten an. Achten Sie darauf, dass genug freier Speicherplatz zur Verfügung steht, um alle Dateien dort ablegen zu können. Entpacken Sie die herunter geladenen ZIP-Dateien auf der USB-Platte. Eine Installation der Programme ist nicht erforderlich. Mit dem Textkonsolenprogramm PhotoRec können Sie nun Ihre gelöschten Dateien auf die USB-Platte kopieren.

Da PhotoRec die ehemaligen Speicherpfade und Namen der Dateien nicht ermitteln kann, hat Kaspersky Lab das Programm StopGpcode bereit gestellt, das dies in den meisten Fällen schafft. Sie finden StopGpcode sowie eine detaillierte Anleitung in der Beschreibung des Virus Gpcode.ak bei Kaspersky. Eine Anleitung zur Benutzung von PhotoRec in deutscher Sprache finden Sie auf der Website des Programmierers.

* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test, Stand: 16.06.2008, 18 Uhr