Erpresservirus
Kaspersky ruft zum Schlüssel-Knacken auf
Eine neue Version des erpresserischen Schädlings Gpcode ist aufgetaucht. Inzwischen ist die benutzte Verschlüsselung so stark, dass sie nur noch mit unrealistischem Aufwand zu knacken wäre.
Der russische Antivirus-Hersteller Kaspersky Lab hat die Entdeckung einer neuen Variante des Schädlings Gpcode gemeldet. Dieser verschlüsselt Dateien auf dem Rechner eines Opfers mit einem 1024-Bit-RSA-Schlüssel. Der bislang stärkste geknackte Schlüssel dieser Art ist ein 660-Bit-Schlüssel. Kaspersky schätzt, dass es mit 15 Millionen aktuellen PCs etwa ein Jahr dauern würde, um die von Gpcode verwendete Verschlüsselung zu brechen.
Der Schädling gelangt auf bislang noch nicht geklärte Weise auf den Rechner. Denkbar sind etwa so genannte Drive-by Downloads, die unbemerkt beim Besuch einer kompromittierten Website erfolgen können. Die neue Variante Gpcode.ak (http://www.viruslist.com/en/viruses/encyclopedia?virusid=313444) benutzt die eingebaute Verschlüsselungsfunktion von Windows, um die Dateien zunächst mit dem RC4-Algorithmus zu verschlüsseln. Der verwendete Schlüssel wird dann mit einem 1024-Bit-RSA-Schlüssel kodiert, den der Schädling mitbringt.
Hierbei handelt es sich um ein asymmetrisches Verfahren mit einem Paar aus öffentlichem und vertraulichem Schlüssel. Der öffentliche Schlüssel (Public Key) ist in der 8 KB großen EXE-Datei des Schädlings enthalten und dient zum Verschlüsseln. Für die Entschlüsselung wird der vertrauliche Schlüssel (Private Key) benötigt, den nur der Täter hat. Gpcode.ak verschlüsselt auf dem Rechner des Opfers gefundene Dateien mit mehr 140 verschiedenen Endungen, darunter DOC, JPG, PDF und XLS. Das Opfer soll sich dann per Mail an den Täter wenden, um gegen Zahlung einer nicht genannten Summe ein Entschlüsselungsprogramm zu erhalten.
Kaspersky Lab ruft in seinem Blog zur Mithilfe beim Knacken des Schlüssels auf und hat eigens dafür ein Forum eingerichtet. Neben verschiedenen Vorschlägen, wie das Problem angegangen werden könnte, findet sich dort auch ein Beitrag von Dr. Vesselin Bontchev, einem anerkannten Malware-Forscher, der heute bei Frisk (F-Prot) arbeitet. Bontchev meint, der Versuch den Schlüssel zu knacken sei völlig unrealistisch und Eugene Kaspersky als Kryptografiefachmann sollte dies auch wissen. Es könne sich bei dem Aufruf also nur um eine Marketingaktion handeln.
Kaspersky Lab ruft in seinem Blog zur Mithilfe beim Knacken des Schlüssels auf und hat eigens dafür ein Forum eingerichtet. Neben verschiedenen Vorschlägen, wie das Problem angegangen werden könnte, findet sich dort auch ein Beitrag von Dr. Vesselin Bontchev, einem anerkannten Malware-Forscher, der heute bei Frisk (F-Prot) arbeitet. Bontchev meint, der Versuch den Schlüssel zu knacken sei völlig unrealistisch und Eugene Kaspersky als Kryptografiefachmann sollte dies auch wissen. Es könne sich bei dem Aufruf also nur um eine Marketingaktion handeln.
