168156

Fehler in der Gpcode-Verschlüsselungsroutine entdeckt

18.06.2008 | 16:05 Uhr |

Der Programmierer des Erpresservirus Gpcode hat offenbar einen Fehler eingebaut, der die Entschlüsselung chiffrierter Dateien ermöglichen kann, ohne dass der RSA-Schlüssel bekannt sein muss.

Der Erpresservirus Gpcode sorgt, gemessen an seiner eher geringen Verbreitung, für viel Wirbel. Genau genommen ist es allerdings eher der Antivirus-Hersteller Kaspersky Lab, der diesen Wirbel verursacht und dafür auch Kritik erntet. Inzwischen gibt es weitere Erkenntnisse über den Schädling. So ist eine Schwachstelle in der Verschlüsselungsroutine entdeckt worden, durch die eine Wiederherstellung verschlüsselter Dateien möglich scheint. Außerdem glauben die Malware-Forscher nun zu wissen, wie Gpcode auf die Rechner der Opfer gelangt.

Nach der Entdeckung einer neuen Version des Schädlings hatte Kaspersky Lab zum gemeinschaftlichen Schlüssel-Knacken aufgerufen . Später erklärte ein Sprecher, es gehen nicht darum den 1024-Bit-starken RSA-Schlüssel zu knacken, sondern um die Entdeckung von Schwächen in der Verschlüsselungsroutine des Virus. Diese Fehlersuche hat inzwischen offenbar Früchte getragen. Ohne Details zu nennen heißt es im Kaspersky-Blog , unter gewissen Umständen sei es möglich die meisten verschlüsselten Dateien zu restaurieren. Zu diesen Umständen gehören demnach auch nicht näher bezeichnete Systemeigenschaften der betroffenen Rechner. Ein Programm zur Wiederherstellung der verschlüsselten Daten werde derzeit entwickelt. Bis dahin bleibt die Möglichkeit der Restaurierung mit Hilfe von Gratis-Programmen wie PhotoRec .

Die Verbreitung von Gpcode erfolgt nach Angaben von Kaspersky Lab mit Hilfe eines weiteren Trojanischen Pferds. Die Untersuchung mehrerer infizierter Computer habe ergeben, dass die Rechner bereits verseucht waren, bevor Gpcode darauf losgelassen wurde. Ein als Bot eingestuftes Trojanisches Pferd habe eine ganze Reihe von Schädlingen aus dem Internet geladen, darunter auch Gpcode. Denkbar wäre also, dass die Gpcode-Programmierer sich an Botnet-Betreiber gewandt haben, um ihren Schädling gegen Entgelt auf einer Anzahl von Zombie-PCs installieren zu lassen. Diese Vorgehensweise ist durchaus üblich, vor allem im Adware-Bereich. Dort werden in so genannten Partnerprogrammen Prämien pro installierter Kopie gezahlt. In Fall des Erpresservirus Gpcode hieße das, die Erpresser müssten einen Teil des ergaunerten Lösegelds an die Botnet-Betreiber abtreten. Wie viele Opfer bereits gezahlt haben, wenn überhaupt jemand, ist nicht bekannt.

0 Kommentare zu diesem Artikel
168156