Erpresser

„Cracked by Kaspersky Lab!“

Am 7. Juni 2006 gab Kaspersky Lab in seinem Weblog bekannt:

Eine neue Variante von GpCode mit einem 660-Bit-Schlüssel …. wurde durch Kaspersky Lab geknackt! Außerdem ist es uns in Zusammenarbeit mit dem Provider gelungen, die bösartige Virusdatei von der Webseite zu entfernen, von der aus sie auf die Rechner der Opfer heruntergeladen wurde.

So endete eine weitere Runde im Kampf „Kaspersky Lab gegen GpCode“ – und wie bei den vorherigen Angriffen der Erpresser-Malware konnte Kaspersky Lab auch diesmal den Sieg davontragen.

Digitale Geiselnahme in drei Stufen

Das Programm Virus.Win32.Gpcode hat eine neue Seite in der Geschichte der Cyberkriminalität aufgeschlagen. Die neue Vorgehensweise der kriminellen Programmierer erinnert an eine Geiselnahme mit Lösegeldforderung.


Alexander Gostev, „Aktuelle IT-Bedrohungen, Trends 2. Quartal 2005

Es braucht wenig Phantasie, um sich auszumalen, wie sich ein Benutzer fühlt, der an einem schönen Junitag feststellen muss, dass sich keine seiner Dateien mehr öffnen oder lesen (txt-Dateien) lässt – insgesamt sind mehr als 80 Dateitypen betroffen. Lediglich die neu aufgetauchten Dateien mit Namen „readme.txt“ lassen sich öffen – ein schwacher Trost, enthalten sie doch lediglich die Aufforderung, das Entschlüsselungs-Programm zu kaufen, um die mit Hilfe des RSA-Algorithmus’ verschlüsselten Dateien wiederherzustellen.

Lange Zeit blieb es ein Rätsel, wie dieser Erpresservirus auf die Computer seiner Opfer gelangte. Mittlerweile ist – zumindest für die aktuelle, Anfang Juni erschienene Version des Schadprogramms – das Vorgehen des Virus beim Eindringen in die betreffenden Systeme bekannt.

Ausgangspunkt war eine Massenmail in russischer Sprache, die an mehrere Tausend russische Mailadressen verschickt wurde:

Hallo !

Bezüglich Ihrer Bewerbung, die Sie auf dem Webportal www.job.ru veröffentlicht haben, möchte ich Sie über eine passende freie Stelle informieren.
Die Firma ADC Marketing LTD (Großbritannien) wird demnächst ein Büro in Moskau eröffnen und ich kümmere mich im Auftrag dieser Firma um entsprechendes Personal.

Ich werde Sie bald zu einem persönlichen Gespräch einladen. Wenn Sie sich für mein Angebot interessieren, füllen Sie bitte das beigefügte Formular über Ihre Gehaltsvorstellungen aus und schicken Sie dieses bitte per E-Mail an mich zurück.

Ich bedanke mich im Voraus.
Mit freundlichen Grüßen,

Viktor Pavlov
HR-Manager

Der Anhang, ein MS-Word-Dokument namens „anketa.doc“ (Anketa = russ. für Bewerbungsformular) enthielt den Schadcode Trojan-Dropper.MSWord.Tored.a.
Sobald der Empfänger dieses Dokument öffnet, installiert ein bösartiges Makro den Trojaner Trojan-Downloader.Win32.Small.crb auf dem System. Die Aufgabe dieses Trojaners ist es, den eigentlichen GpCode von einer Webadresse auf die angegriffene Maschine zu laden – [skip].msk.ru/services.txt.
Das heruntergeladene Programm durchsucht konsequent alle Verzeichnisse und verschlüsselt die verschiedensten Dateien (txt, xls, rar, doc, html, pdf, u.a.), ebenso wie E-Mail-Datenbanken nach einem besonderen Algorithmus.

Der Trojaner selbst löscht sich nach Beendigung seiner Tätigkeit vom Rechner des Opfers. Zuvor legt er allerdings in jedem Verzeichnis mit verschlüsselten Dateien eine „readme.txt“ an, in der die Täter eine E-Mail-Adresse zwecks Kontaktaufnahme hinterlassen.

Some files are coded by RSA method.
To buy decoder mail: k47674@mail.ru
with subject: REPLY

Innerhalb weniger Tage folgten weitere Massenmails nach diesem Muster. Der Autor von GpCode hat den schadhaften Code immer wieder angepasst, und auch die E-Mail-Adressen ständig geändert, so dass mit jeder neuen Virenvariante auch eine neue E-Mail-Adresse zur Kontaktaufnahme auftauchte.

Wer sich auf dieses Spiel einließ und an die Mailadresse antwortete, bekam weitere Informationen, wie er gegen Lösegeld seine Dateien wieder entschlüsseln (quasi freikaufen) könnte. Nach Überweisung der geforderten Summe an ein Internet–Konto, würde der Geschädigte den zur Wiederherstellung notwendigen Programm-Decoder erhalten.

Allerdings war es schwer, ein genaues Bild von der Funktionsweise sowie aller Feinheiten der „elektronischen Geiselnnahme“ zu bekommen.

Aller Anfang ist schwer

„Als wir im Dezember 2004 die ersten Exemplare verschiedener, mit einem unbekannten Programm verschlüsselter Dateien erhielten, konnten wir nicht ahnen, dass wir in einem halben Jahr Dutzende dieser Art pro Tag erhalten würden, wobei die Anzahl von Verschlüsselungsmethoden allein innerhalb einer Juniwoche das zweite Dutzend erreicht.“

Alexander Gostev, „Aktuelle IT-Bedrohungen, Trends 2. Quartal 2005

Im Dezember 2004 wurden die Experten von Kaspersky Lab zum ersten Mal mit GpCode konfrontiert.

Die Dateien des infizierten Computers waren durch ein unbekanntes Programm verschlüsselt worden.
Die russischsprachige Textzeilen der Datei !_Vnimanie_!.txt , die durch das Verschlüsselungsprogramm erstellt wird, sowie die von den Erpressern verwendeten E-Mail-Adressen und einige andere für Russland spezifische Eigenarten der Verschlüsselung sprachen eindeutig für die russischen Herkunft des Täters. Doch das unbekannte Verschlüsselungsprogramm selbst konnte auf keinem der infizierten Rechner entdeckt werden.

Damals befanden sich unter den Betroffenen praktisch keine privaten Nutzer. Bei den infizierten Systemen handelte es sich um Banken, verschiedene Finanz- und Werbeagenturen, große Unternehmen, Maklerbüros und andere Netzwerke mit großem Dokumentenumlauf. Das „Geschenk“ aus Russland haben auch einige ausländische Firmen erhalten.

Der Header „PGPcoder“ am Anfang jeder Datei sprach für eine Verwendung des PGP-Verschlüsselungsprogramms, allerdings in einer recht einfachen Variante. Zum Glück waren die kryptographischen Kenntnisse der Virenautoren nicht sehr ausgeprägt und die von ihnen verwendeten Algorithmen wurden durch die Virenanalytiker von Kaspersky Lab leicht geknackt.

Knapp ein halbes Jahr später kam der nächste böswillige GpCode-Sturmangriff, diesmal gezielt gegen den russischen Internet-Provider Runet. Der verwendete Verschlüsselungs-Algorithmus war komplizierter als sein Vorgänger, allerdings enthielt er noch genügend Schwachstellen, um für die Experten von Kaspersky Lab kein allzu großes Hindernis darzustellen. Die mehr als 25 verschiedenen Modifikationen der ersten GpCode-Versionen konnten in nur wenigen Minuten geknackt werden. Es gelang den Experten sogar, die Dateien des Trojaners zu finden, welche die eigentliche Verschlüsselung durchführten.
Eine Frage blieb aber unbeantwortet: Wie gelangte das Schadprogramm auf die betroffene Rechner?

Wie sich später herausstellte, war dies nicht das einzige Problem, das den Virusanalytikern Kopfzerbrechen bereiten sollte…

Rückkehr mit neuer Technik im Gepäck

Dies ist eine neue Art des Internet-Verbrechens. In den letzten Jahren wurden vor allem Kreditkarten-Nummern, Passwörter und andere Daten gestohlen, die dann von den Verbrechern für ihre eigenen Ziele verwendet wurden.
Alexander Gostev, „Aktuelle IT-Bedrohungen, Trends 4.Quartal 2005

Am 26. Januar 2006 entdeckte Kaspersky Lab eine neue Variante des Erpresservirus GpCode, der den Namenszusatz .ac erhielt. Der wichtigste Unterschied war, dass in diesem GpCode erstmals einer der bekanntesten und sichersten Verschlüsselungsalgorithmen – RSA – verwendet wurde. Der auf seine neuen Erkenntnisse stolze Erpresser hatte sogar ein Webportal für die Opfer eingerichtet – dort berichtete er unverblümt, dass er nun den RSA-Algorithmus einsetzt.

Es wurde für die Virusanalytiker ernster und schwieriger als bei den vorhergehenden Fällen – dennoch gelang es erneut, die Verschlüsselung zu knacken. Der Erpresser gab aber nicht auf, und die neue Version des Erpresservirus erschien im April. Der Autor versuchte, die Entschlüsselung der Daten zu erschweren und verwendete teilweise einen stärkeren RSA-Algorithmus – 67 Bit anstelle der 56 Bit des Vorgängers.

Doch der gefährlichste Ausbruch der GpCode-Epidemie im russischsprachigen Internet begann erst Anfang Juni 2006.

Die letzte Runde?

Mit Beginn des Jahres 2006 versuchten die Autoren dieser Art Programme große Veränderungen der Verschlüsselungs-Methoden der Daten, um den Antivirus-Unternehmen die Entschlüsselung maximal zu erschweren… Früher schränkte sich der Autor durch selbst erstellte Algorithmen ein, nun aber setzt er seine „schwere Artillerie“ in Gang.
Alexander Gostev, „Aktuelle IT-Bedrohungen, Trends 1.Quartal 2006

Anfang Juni 2006 verbreiteten sich drei neue Modifikationen von GpCode – und diesmal kam ein wesentlich stärkerer Algorithmus zum Einsatz.

Der Virus GpCode.ae setzt auf RSA 260 Bit, GpCode.af verwendet sogar einen 330 Bit-Schlüssel.

Das machte die Entwicklung einer Entschlüsselung für die Virusanalytiker sehr kompliziert. Doch nach zehn Stunden intensivster Arbeit war schließlich auch der 330-Bit-Schlüssel von GPcode.af geknackt. Gleichzeitig wurde auch eine neue Routine zur Entdeckung und Entschlüsselung betroffener Dateien entwickelt und in die Signatur-Datenbanken von Kaspersky Lab aufgenommen. Nicht wenigen fiel ein Stein vom Herzen.

Kurze Zeit darauf entdeckte Kaspersky jedoch eine neue Variante: GpCode.ag. Diesmal sogar mit einer 660-Bit-Verschlüsselung.

Laut Informationen der offiziellen RSA-Security-Webseite beträgt bis zum heutigen Tage die Größe des letzten faktorisierten Schlüssels 640 Bit. Um im Rahmen einer Kryptoanalyse einen solchen Schlüssel zu berechnen, würde ein 2,2 GHz starker Rechner über 30 Jahre benötigen.

Für Virus.Win32.GpCode.ag, der von Kaspersky Lab entdeckt wurde, gab es bereits am Tag seiner Entdeckung den passenden Entschlüsselungs-Algorithmus von Kaspersky Lab.

Wie die Virenanalytiker das schaffen konnten? Auf diese Frage gibt es nur ein geheimnisvolles Lächeln – das aber nicht lange hält, wenn die nächste Frage lautet „Was erwartet uns demnächst?“

Für eine Handvoll Rubel

Rechtliche Schritte – etwa ein Verfahren gemäß dem russischen Strafgesetz – können in diesem konkreten Fall nur unternommen werden, wenn mindestens eine Anzeige von Geschädigten vorliegt.
Alexander Gostev, Kaspersky Lab, Kommentar im russischen Weblog vom 07.06.06

Der Erpresser ist intelligent und erfinderisch – man sollte ihn keineswegs unterschätzen. Er hat seine Angriffe gut durchdacht und dabei geschickt Social-Engineering-Methoden genutzt. Das Schadprogramm wurde an E-Mail-Adressen verschickt, die auf dem Webportal www.job.ru zu finden sind. Die Arbeitssuchenden, die hier ihre ausgefüllten Bewerbungsformulare und Fragebögen hinterlegt hatten, erhielten ein ihren Interessen entsprechendes Stellenangebot, angeblich von den Ansprechpartnern solider ausländischer Unternehmen. Im Anhang fand sich eine Word-Datei, in der der Arbeitsuchende seine Gehaltsvorstellungen zur neuen Position angeben sollte. Und dies ist natürlich nicht möglich, ohne die Datei selbst zu öffnen.

Nach Öffnen des Anhangs konnte der Benutzer keine visuellen Veränderungen feststellen. Das Herunterladen des schädlichen GpCode und die Verschlüsselung der Dateien am infizierten Computer erfolgen zeitverzögert zum Spamversand und zum ersten Eindringen des Trojaners ins System.

Die überwiegende Mehrheit der Betroffenen hat keinerlei Zusammenhang zwischen der Verschlüsselung der Dateien und der elektronische Antwort auf ihr Stellengesuch vermutet. Das ist auch der Grund, weshalb der Ansteckungsmechanismus lange unbekannt blieb.

Die Hartnäckigkeit des GpCode-Erzeugers ist zudem etwas befremdlich, wenn man bedenkt, dass es ihm um lediglich 2.000 Rubel (umgerechnet etwa 58,- Euro) geht. Anfang Dezember 2004 hat er von seinen Opfern sogar nur 1.000 Rubel gefordert. Aus den Mitteilungen des Internet-Forums ging zudem hervor, dass er sich sogar mit der Hälfte der Summe, also gerade mal 500 Rubel, zufrieden stellen ließ.

Natürlich kann man es auch als geschickte Taktik ansehen, von den Geschädigten eine kleine Geldsumme zu verlangen, damit diese sich eher auf die Erpressung einlassen, anstatt sich an an Virenanalytiker oder die Polizei zu wenden.

An dieser Stelle muss auch erwähnt werden, dass jeder User, der sich auf die Erpressung eingelassen hat, den GpCode-Autor noch darin bestärkt hat, seine kriminellen Handlungen fortzuführen und weitere Versionen von GpCode zu entwickeln. Damit das Rechtssystem in Russland gegen derartige Angriffe vorgehen kann, wäre es aber notwendig, dass es wenigstens zur Anzeige eines Geschädigten kommen würde. Leider nehmen die russischen Benutzer solche Angriffe jedoch nicht als kriminelle, strafbare Aktivitäten wahr und zeigen sie nicht an. Das sollte sich schleunigst ändern.

Verteidigen Sie sich!

Ein an das Internet angeschlossener Computer ist wie Sex – Er kann harmlos sein oder auch nicht.
Eugene Kaspersky, „Die moderne Antivirus-Industrie und ihre Probleme.“

Auffällig an dieser Geschichte ist, dass die Anzahl der betroffenen Benutzer, die sich mit einem Hilferuf an Kaspersky Lab wandten, relativ gering war. Es ist davon auszugehen, dass insgesamt deutlich mehr Benutzer betroffen waren – darunter vielleicht auch einige Kaspersky-Kunden, die sich nicht gemeldet haben. Wobei diese – sofern der Virenscanner lief – gut geschützt waren, denn bislang wurde jede der drei Angriffswellen durch die Kaspersky-Engine entdeckt und abgewendet. Als erstes wurde der Anwender beim Erhalt der Spam-Mail mit dem Trojan-Dropper.MSWord.Tored.a gewarnt. Die Programmkomponente, die GpCode auf den Rechner herunterladen sollte, wurde als Trojan-Downloader.Win32.Small.crb identifiziert.

Auch der eigentliche GpCode wurde durch Kaspersky Anti-Virus erfolgreich abgefangen. Dazu waren nicht einmal die neuesten Virensignaturen erforderlich, da die bereits im Januar dieses Jahres veröffentlichten Datenbanken die Mehrheit aller GpCode-Varianten als Malware erkennen konnten.

Die Kaspersky-Spezialisten müssen immer wieder darauf hinweisen, dass die Arbeit mit Dateien aus fremden Quellen ohne die Verwendung von Antivirus-Software bittere Folgen haben kann. Die Gefahr, dass weitere Schadprogramme erscheinen, die sich selbst von infizierten Systemen wieder löschen, um ihre Spuren zu verwischen, ist nicht zu vernachlässigen.

Nachdem im Falle GpCode die Entschlüsselungs-Algorithmen gefunden waren, musste zudem noch ein Weg gefunden werden, auch die verschlüsselten E-Mail-Datenbanken wiederherzustellen. Da die E-Mail-Clients der Anwender die geschädigten Dateien nicht mehr als „eigene“ Formate erkennen konnten, wurden die internen E-Mail-Datenbanken stark beschädigt. In der Folge haben einige Nutzer wichtige Daten komplett verloren.

Es ist zu hoffen, dass allen Nutzern in Zukunft eines klar wird: Wenn es um die „Gesundheit“ des Rechners und die Sicherheit der vorhandenen Daten geht, muss man zu modernen Sicherungsmittel greifen und die Antiviren-Signaturen permanent aktualisieren. Man sollte den Übeltätern das Leben nicht durch Sorglosigkeit erleichtern und sich damit das eigene erschweren.

Epilog

Im vergangenen Jahr wurden die Antivirus-Unternehmen nicht nur mit der Verschlüsselung von Daten konfrontiert, sondern auch mit verschiedenen anderen Erpresser-Methoden. Zweifelsohne müssen Trojaner wie Cryzip und MayArchive erwähnt werden, die in diesem Jahr die Anwender in den USA und Großbritannien infiziert haben. Hierbei wurde die Technologie der Datei-Archivierung mit unbekannten Passwörtern verwendet. Ein derartiges Passwort zu knacken, ist nicht minder kompliziert, als bei Gpcode.

Diese Beispiele zeigen, dass die Erpressung der Anwender nicht nur ein rein russisches Phänomen ist, sondern auch gerne von ausländischen Virus-Autoren zur finanziellen Bereicherung eingesetzt wird. In diesem Zusammenhang weisen wir nochmals auf die Bedeutung stets aktuell gehaltener Antivirus-Signaturen hin, aber auch darauf, Backups aller wichtigen Dateien anzulegen. Opfer von Erpressungsversuchen sollten unter keinen Umständen den Forderungen der Übeltäter nachkommen, sondern Rat bei Antivirus-Unternehmen suchen, die bisher in allen Erpressungsfällen in der Lage waren, den Kunden zu helfen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.