25752

Erpresserische Malware: die Rückkehr von Gpcode

17.07.2007 | 15:55 Uhr |

Nach einer längere Pause ist eine neue Variante der erpresserischen Malware "Gpcode" aufgetaucht. Der Schädling verschlüsselt Inhalte der Festplatte und verlangt eine Art Lösegeld für ein Entschlüsselungsprogramm.

Der in Moskau beheimatete Antivirus-Hersteller Kaspersky Labs hat eine neue Version von "Gpcode" entdeckt. Dieser Schädling verschlüsselt Dateien auf der Festplatte des befallenen Rechners und löscht die Originale. Wer seine wichtigen Dokumente zurück haben will, soll 300 US-Dollar an den Erpresser zahlen. Dafür soll er ein Programm erhalten, das die Dateien wieder entschlüsselt.

Die letzte Meldung über Gpcode liegt bereits ein Jahr zurück . In der Zwischenzeit hat Kaspersky keine neuen Varianten entdeckt. Nun ist der Erpresser (englisch: Blackmailer) wieder da. Wie der Malware-Forscher Aleks Gostev im Blog der Kaspersky Labs berichtet, behauptet eine von dem Schädling hinterlassene Textdatei, die Dateien seien mit einem 4096-Bit-RSA-Schlüssel kodiert, für dessen Entschlüsselung das Opfer ohne die Software des Erpressers Jahre benötigen würde.

Die Analyse durch die Virenforscher zeigt allerdings, dass in den verschlüsselten Dateien keine Spur einer RSA-4096-Verschlüsselung zu finden ist. Die Forscher arbeiten bereits an einer Entschlüsselungsroutine. Inzwischen sollten eventuelle Opfer keinesfalls das geforderte Lösegeld zahlen, sondern sich an den Hersteller ihres Antivirus-Programms wenden.

Die bei Kaspersky aufgelaufenen Meldungen von betroffenen Anwendern kommen nicht aus Russland. Die Erpresser sind offenbar international aktiv. Aleks Gostev geht jedoch davon aus, dass die Malware weiterhin aus Russland stammt. Die neu entdeckte Gpcode-Variante hat nur eine Lebensdauer von wenigen Tagen, vom 10. bis 15. Juli, vermutlich gibt es jedoch weitere Versionen mit einem anderen Zeitfenster.

0 Kommentare zu diesem Artikel
25752