71532

Auf der Spur des Erpressers

01.10.2008 | 16:04 Uhr |

Hinter dem Erpresservirus Gpcode steckt allem Anschein nach eine einzelne Person russischer Herkunft. Er hat mehrfach versucht seine Opfer mit seinem Schädling zu erpressen, in dem dieser ihre Dateien verschlüsselt hat.

Die Ermittlungsbehörden sind dem Erpresser auf der Spur, der seit 2006 mehrfach versucht hat mit immer neuen Varianten seines Virus "Gpcode" Geld zu erpressen. Wie unsere Schwesterpublikation Techworld unter Berufung auf eine ungenannte Quelle berichtet, soll es sich bei dem Täter um eine einzelne Person aus Russland handeln. Er hat mit wenigstens einem Antivirushersteller, Kaspersky Lab, Kontakt aufgenommen, um ein Programm zur Entschlüsselung von mit Gpcode verschlüsselten Dateien zu verkaufen.

Der Gpcode-Virus verschlüsselt auf den Rechnern seiner Opfer Dateien mit seit 2006 immer stärker werdenden Verfahren. Er erpresst dann von den Opfern Geld, indem er ihnen ein Entschlüsselungsprogramm anbietet. Bislang ist den Spezialisten von Kaspersky Lab meist gelungen einen Weg zu finden, wie die Dateien auch ohne dieses Programm wieder hergestellt werden können. Zunächst konnten sie die anfangs noch relativ schwache Verschlüsselung knacken, später mussten andere Tricks her.

Der Täter konnte die Kaspersky-Spezialisten nach anfänglicher Skepsis überzeugen, dass er kein unbeteiligter Trittbrettfahrer ist. Er konnte zum Beispiel den privaten Schlüssel für die zuletzt verwendete RSA-Verschlüsselung vorweisen, den nur der Täter selbst haben kann.

Kaspersky Lab verfolgte die IP-Adressen der vom Täter für den Kontakt verwendeten Proxy-Rechner zu einigen privaten PCs in den USA und anderswo, die offenbar Teile eines Botnets waren, so genannte "Zombies". Vieles deutet darauf hin, dass ein Botnet zur Verbreitung des Schädling genutzt wurde.

Die Ermittlung der Besitzer dieser Rechner war allerdings sehr schwierig, da sich beteiligte Internet-Provider nicht sehr kooperativ zeigten. Ermittlungsbehörden in mehreren Ländern, auch in Russland, wurden eingeschaltet und zeigten sich auf Grund der Fülle an Indizien interessiert. Ob und welche Maßnahmen die Behörden gegen den mutmaßlichen Täter eingeleitet haben oder planen, ist bislang nicht bekannt.

Kaspersky Lab hat bestätigt, dass es Kontakt mit mehreren Opfern in Russland, Ungarn und der Slowakischen Republik hatte. In diesen Ländern scheint die Hauptzielgruppe des Täters zu sein. Es sollen jedoch auch eine Klinik in Kuba und Gerüchten zufolge US-Regierungsstellen Opfer des Gpcode-Virus geworden sein.

0 Kommentare zu diesem Artikel
71532