Erpressersoftware: GPCode schlägt zurück

Im vergangenen November hatten wir einen Blogpost über eine neue Version des Erpresserprogramms Gpcode veröffentlicht.

Heute hat Kaspersky Lab wieder eine neue Variante entdeckt, und zwar in Form einer versteckten ausführbaren Datei. Eine genauere Beschreibung dieser Datei finden Sie in den technischen Details weiter unten. Mit Hilfe des Kaspersky Security Network wurde die Bedrohung automatisch als UDS:DangerousObject.Multi.Generic.

In unsere Datenbank wurde eine spezielle Erkennungsroutine aufgenommen, so dass der Schädling nun als Trojan-Ransom.Win32.Gpcode.bnerkannt wird.

Die Infektion erfolgt bei Aufrufen einer manipulierten Website (Drive-by-Download).

Bei seiner Ausführung generiert das Erpresser-Programm GPCode einen AES 256-Bit-Schlüssel (unter Verwendung von Windows Crypto-API) und benutzt dann zu seiner Verschlüsselung den öffentlichen RSA-1024-Schlüssel der Internetbetrüger. Als Resultat der Verschlüsselung legt der Schädling eine Textdatei mit folgendem Erpresserschreiben auf dem Desktop des infizierten Rechners ab:

Ein wichtiger Punkt ist, dass die Zahlung im Gegensatz zu den Samples vom letzten November über Ukash/Prepaid-Karte erfolgen soll. Kleine Randnotiz: Auch die gestern gesichtete Erpressersoftware, die sich als Nachricht der Deutschen Bundespolizei getarnt hatte, verlangte Ukash-Coupons.

Es hat den Anschein, als hätten die Betrüger den herkömmlichen Methoden des Geldtransfers den Rücken gekehrt und gäben stattdessen Prepaid-Karten den Vorzug. Der Preis stieg von 120 auf 125 Dollar.

Zeitgleich wird der Desktop-Hintergrund verändert, um den Opfern mitzuteilen, dass ihr Rechner infiziert wurde und sie ein Lösegeld zahlen müssen:

An diesem Punkt wird die Festplatte auf zu verschlüsselnde Dateien gescannt. Ob eine Datei verschlüsselt wird oder nicht, wird anhand von Dateiendungen, die in einer verschlüsselten Konfigurationsdatei zur Verfügung gestellt werden, festgelegt. Dies bedeutet, dass die GPCode Ransomware leicht mit einer neuen Konfigurationsdatei zu aktualisieren ist. Die Datei enthält außerdem das Erpresserschreiben sowie den öffentlichen RSA-1024-Schlüssel der Kriminellen.

Technische Details:

Die Komprimierung des im November 2010 entdeckten Samples erfolgte per UPX. Bei dem heute beobachteten Sample wird UPX zwar weiterhin benutzt, nicht aber von dem Sample selbst. Vielmehr benutzen die Internetkriminellen einen maßgeschneiderten Dateischutz, um Analyse und Reverse Engineering zu verlangsamen. Am gepackten Eintrittspunkt sieht dies folgendermaßen aus:

Eine Beschreibung des gesamten Entpackungsprozesses wäre zu langwierig, jedenfalls aber werden zum Schutz dieser Erpressersoftware die in modernen maliziösen Packprogrammen festgestellten Verschleierungs- und Standardtechniken verwendet.

Einmal entpackt, ähnelt dieser Schädling stark der Variante vom letzten November. Im Ressourcenabschnitt der Datei eingebettet ist eine verschlüsselte config.Datei. Hier eine Darstellung nach der Entschlüsselung:

Das Parameter „N“ ist verzerrt/verschwommen. Bei diesem Parameter handelt es sich um eine 1024-Bit-Zahl, und es sollte festgehalten werden, dass hier im Vergleich zu letztem November ein Unterschied besteht.

Und zum Schluss noch die erfassten Daten rund um den ungepackten Eintrittspunkt, wo der Befehl für die Schlüsselerzeugung gegeben wird:

Wie verhalte ich mich im Falle einer Infektion?

Für den Fall, dass Sie eine Infektion vermuten, empfehlen wir, keine Änderungen an dem System vorzunehmen, da dadurch eine mögliche Datenwiederherstellung verhindert werden könnte, wenn wir eine Lösung gefunden haben. Sicherer ist, den Rechner – ungeachtet der Drohungen der Malware-Autoren, dass die Dateien nach X Tagen gelöscht werden – sofort herunterzufahren oder einen Neustart durchzuführen. Bisher haben wir keinerlei Beweise für einen zeitabhängigen Löschmechanismus. Es ist auf jeden Fall besser, jegliche Änderungen an dem Dateisystem, die z.B. durch einen Neustart ausgelöst werden könnten, zu unterlassen.

Nutzer sollten über das Problem informiert sein und GpCode von der ersten Sekunde an, wenn die Warnmeldungen auf ihrem Bildschirm erscheinen, erkennen. Durch Drücken des Reset/Power-Buttons auf Ihrem Desktop können eine ganze Menge wichtiger Daten gerettet werden!

Zögern Sie nicht, Ihren PC einfach auszuschalten oder den Netzstecker zu ziehen, wenn dies am schnellsten geht!

Aufgrund der starken Kryptographie, die hierbei verwendet wird, ist es nicht möglich, einmal verschlüsselte Dateien wiederherzustellen.

Der einzige Weg zur Wiederherstellung Ihrer Dateien besteht in dem Erstellen von Backups.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.