Erpressung mit verschlüsselten Dateien

Auf noch nicht gänzlich geklärtem Wege wird seit mehreren Tagen ein Trojanisches Pferd verbreitet, das Dateien auf der Festplatte in mit einem Passwort verschlüsselte ZIP-Archive verpackt. Die Originaldateien werden dann gelöscht. In einer Textdatei fordert der Erpresser ein Lösegeld von 300 US-Dollar, das Betroffene auf ein Konto des Online-Bezahldienstes E-Gold einzahlen sollen. Sie sollen dann das Passwort für die ZIP-Dateien erhalten.

Das als "Cryzip" oder auch "Zippo-A" bezeichnete Trojanische Pferd wird vermutlich entweder Spam-artig per Mail verschickt oder über P2P-Netze verteilt. Es benutzt eine frei verfügbare ZIP-Bibliothek zum Verpacken der Dateien. Es durchsucht die Festplatte nach einer langen Reihe von Dateitypen, darunter DOC, JPG, PDF und XLS. Die Namen der Passwort-verschlüsselten ZIP-Dateien leiten sich aus dem originalen Dateinamen ab: "datei.doc" wird zu "datei.doc_CRYPT_.ZIP". Hinzu kommt eine Textdatei mit dem Namen "AUTO_ZIP_REPORT.TXT", die den Erpresserbrief enthält.

Wie der Antivirus-Hersteller McAfee in seiner Beschreibung von Cryzip angibt, steht das zur Verschlüsselung verwendete Passwort im Klartext in der Programmdatei des Schädlings. Es lautet "C:\Program Files\Microsoft Visual Studio\VC98" und wurde mutmaßlich gewählt, weil derartige Textfragmente häufig in Programmdateien enthalten sind und der Programmier daher wohl hoffte, es würde übersehen.