Gpcode – Die Rückkehr des Verschlüsselers

Wir haben eine neue Version von Gpcode entdeckt, einem gefährlichen Virus, der Anwenderdateien mit einer Vielzahl von Erweiterungen verschlüsselt, wie z.B. DOC, TXT, PDF, XLS, JPG, PNG, CPP, H und andere. Regelmäßige Besucher der Viruslist werden sich vielleicht erinnern, bereits vor einigen Jahren über Gpcode gelesen zu haben.

Der neue Schädling Virus.Win32.Gpcode.ak wurde gestern, am 04. Juni 2008, in unsere Datenbanken aufgenommen. Obgleich wir den Virus nun erkennen, können wir die befallenen Dateien jedoch derzeit noch nicht entschlüsseln, da der Virus den Verschlüsselungs-Algorithmus RSA mit einem langen 1024-Bit-Schlüssel verwendet.

Der Algorithmus RSA basiert auf der Verwendung eines Schlüsselpaares, d.h. eines privaten und eines öffentlichen Schlüssels. Nachrichten können mit Hilfe des öffentlichen Schlüssels chiffriert werden, die Dechiffrierung ist allerdings nur mit dem privaten Schlüssel möglich.

Auf diesem Prinzip basiert der Virus Gpcode. Er verschlüsselt Anwenderdateien mit Hilfe des öffentlichen Schlüssels, der sich im Körper des Virus’ befindet. Nur der Inhaber des privaten Schlüssels kann die Dateien danach entschlüsseln, d.h. also nur der Autor des Schadprogramms Gpcode.

Kaspersky Lab hatte schon früher mit dem Virus Gpcode zu tun (s. Analyse „Der Erpresser“) und damals kamen wir mittels einer genauen Kryptoanalyse der uns vorliegenden Daten an den privaten Schlüssel. Der längste RSA-Schlüssel, den wir bisher ‚knacken’ konnten, hatte eine Länge von 660 Bit. Wir konnten ihn auch nur deshalb knacken, weil dem Autor bei der Implementierung des Verschlüsselungsalgorithmus einige Fehler unterlaufen waren. Der Autor wartete fast 2 Jahre, bevor er eine neue, verbesserte Version des Virus’ mit RSA-Verschlüsselung entwickelte – ohne die alten Fehler zu wiederholen.

Bei der Entdeckung der ersten Gpcode-Versionen mit RSA-Verschlüsselung im Jahr 2006 warnten wir bereits, dass wir Anwendern nicht helfen könnten verschlüsselte Dateien zu dechiffrieren, wenn der Virenautor den RSA-Algorithmus korrekt einsetzt. Eine derartige Verschlüsselung von Dateien wiegt ebenso schwer wie das unbefugte Kopieren von Dateien auf den Computer eines Kriminellen bei gleichzeitigem Löschen der Daten vom Anwendercomputer. Es ist eine Strafbestand und Sache der zuständigen Exekutivorgane.

Hat der Virus Dateien verschlüsselt, so hinterlässt er zusammen mit den chiffrierten Dateien die folgende Textmitteilung:

Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor.
To buy decrypting tool contact us at: ********@yahoo.com

Da wir den Übertragungsweg des Virus leider noch nicht identifizieren konnten, empfehlen wir, alle auf Ihrem Computer installierten Schutzkomponenten zu aktivieren.

ACHTUNG! Wenn die folgende Mitteilung auf Ihrem Bildschirm erscheint:

…Sо wurde Ihr Computer sehr wahrscheinlich von Gpcode.ak angegriffen. In diesem Fall STARTEN SIE DEN RECHNER NICHT NEU UND SCHALTEN SIE IHN NICHT AUS. Setzen Sie sich über einen anderen Computer mit Internetzugang mit uns in Verbindung.

Schicken Sie uns eine E-Mail an die Adresse stopgpcode@kaspersky.com und teilen Sie uns das genaue Datum und die Uhrzeit der Infizierung sowie die auf Ihrem Computer ausgeführten Aktionen innerhalb der letzten fünf Minuten vor der Infizierung mit: Welche Programme haben Sie gestartet, welche Websites haben Sie besucht. Wir werden versuchen Ihnen zu helfen, die verschlüsselten Daten wiederherzustellen.

Unsere Virenanalysten fahren fort, den Virencode zu analysieren und nach einer Methode zu suchen, befallene Dateien auch ohne privaten Schlüssel zu dechiffrieren.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.