197334

Erpressung mit verschlüsselten Dateien

16.03.2006 | 16:30 Uhr |

Die Online-Konten des Erpressers sind bereits gesperrt, das Verschlüsselungspasswort ist bekannt.

Auf noch nicht gänzlich geklärtem Wege wird seit mehreren Tagen ein Trojanisches Pferd verbreitet, das Dateien auf der Festplatte in mit einem Passwort verschlüsselte ZIP-Archive verpackt. Die Originaldateien werden dann gelöscht. In einer Textdatei fordert der Erpresser ein Lösegeld von 300 US-Dollar, das Betroffene auf ein Konto des Online-Bezahldienstes E-Gold einzahlen sollen. Sie sollen dann das Passwort für die ZIP-Dateien erhalten.

Das als "Cryzip" oder auch "Zippo-A" bezeichnete Trojanische Pferd wird vermutlich entweder Spam-artig per Mail verschickt oder über P2P-Netze verteilt. Es benutzt eine frei verfügbare ZIP-Bibliothek zum Verpacken der Dateien. Es durchsucht die Festplatte nach einer langen Reihe von Dateitypen, darunter DOC, JPG, PDF und XLS. Die Namen der Passwort-verschlüsselten ZIP-Dateien leiten sich aus dem originalen Dateinamen ab: "datei.doc" wird zu "datei.doc_CRYPT_.ZIP". Hinzu kommt eine Textdatei mit dem Namen "AUTO_ZIP_REPORT.TXT", die den Erpresserbrief enthält.

Wie der Antivirus-Hersteller McAfee in seiner Beschreibung von Cryzip angibt, steht das zur Verschlüsselung verwendete Passwort im Klartext in der Programmdatei des Schädlings. Es lautet "C:\Program Files\Microsoft Visual Studio\VC98" und wurde mutmaßlich gewählt, weil derartige Textfragmente häufig in Programmdateien enthalten sind und der Programmier daher wohl hoffte, es würde übersehen.

Der Online-Bezahldienst E-Gold teilt mit, dass er die Online-Konten des Erpressers im Rahmen routinemäßiger Überwachung entdeckt und inzwischen gesperrt habe. Außer ein paar kleineren Gutschriften, die offenbar nur zum Test dienten, seien keine Kontobewegungen zu verzeichnen gewesen.

Der bis dato nicht bekannte Erpresser wird also keinen Gewinn aus seiner Tat ziehen können. Betroffene können ihre Original-Dateien entweder aus Backups wieder herstellen oder die verschlüsselten Archive mit dem Passwort und einem kostenlosen ZIP-Programm auspacken.

Bereit im Mai 2005 machte ein ähnlicher Erpressungsversuch mit einem Trojanischen Pferd namens "PGPcoder" von sich reden ( wir berichteten ). Der Erpresser konnte jedoch auch nicht davon profitieren.

0 Kommentare zu diesem Artikel
197334