Die Rückkehr des Erpressers

Wer regelmäßig unsere Blogs verfolgt, wird sich sicherlich an GpCode erinnern, der RSA Algorithmen zur Verschlüsselung von Anwenderdaten verwendete. Unter dem Titel „Erpresser“ wurde dieses Schadprogramm in der Rubrik Analysen auf dieser Site ausführlich beschrieben.

Vielleicht hat sich der eine oder andere bereits gefragt, warum wir in der letzten Zeit nicht über ähnliche Programme berichtet haben, denn Gpcode ließ befürchten, dass uns derartige Programme künftig öfter ins Haus stehen würden. Doch dann herrschte merkwürdigerweise über ein Jahr Ruhe…

Daher kann man sich die Aufregung vorstellen, als uns einige nicht russische User am vergangenen Wochenende mitteilten, ihre Dokumente, Fotos und Archivdateien hätten sich in einen Haufen Datenmüll verwandelt und eine Datei mit dem Namen read_me.txt sei in ihrem System aufgetaucht. Leider war uns der Inhalt dieser Datei n nur allzu vertraut:

Hello, your files are encrypted with RSA-4096 algorithm
(http://en.wikipedia.org/wiki/RSA).

You will need at least few years to decrypt these files without our
software. All your private information for last 3 months were
collected and sent to us.

To decrypt your files you need to buy our software. The price is $300.

To buy our software please contact us at: xxxxxxx@xxxxx.com and provide us
your personal code -xxxxxxxxx. After successful purchase we will send
your decrypting tool, and your private information will be deleted
from our system.

If you will not contact us until 07/15/2007 your private information
will be shared and you will lost all your data.

Glamorous team

Handelt es sich hierbei um die Rückkehr des unbekannten Erpressers? Der Text stammt eindeutig nicht von einem englischen Muttersprachler. Die angegebene E-Mail-Adresse ist uns bereits von einigen LdPinch- und Banker-Varianten bekannt, bei denen es sich ganz klar um Programme russischen Ursprungs handelt.

Wir haben die Dateien natürlich analysiert und entgegen der Behauptung im Text oben gibt es keine Spur des Algorithmus’ RSA-4096. Interessanterweise hat dieses fiese kleine Machwerk, das wir als Virus.Win32.Gpcode klassifiziert haben, nur eine sehr geringe Lebensdauer, nämlich vom 10. bis zum 15. Juli 2007. Warum, lässt sich nur raten.

Kaspersky Anti-Virus 6.0 und 7.0 erkennt dieses trojanische Programm proaktiv, einmal als Trojan-Generic, einmal als Invader:

Selbstverständlich arbeiten wir bereits an einer Entschlüsselungsroutine für die verschlüsselten Anwenderdateien, die wir unseren Datenbanken hinzufügen werden.

Derweil möchten wir Sie nochmals eindringlich darauf hinweisen, unter keinen Umständen die geforderten Geldbeträge zu zahlen, sollten Sie Gpcode oder einer anderen Erpresser-Software zum Opfer gefallen seien. Wenden Sie sich stattdessen unbedingt an Ihren Antivirus-Hersteller.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.