GpCode-ähnliche Erpresser-Malware ist wieder da

Aus aller Welt erreichen uns Meldungen von Anwendern, die uns um Hilfe wegen Infektionen bitten, die stark dem von uns im Jahr 2008 identifizierten Trojaner GpCode ähneln.

Zum ersten Mal wurde GpCode 2004 entdeckt, und bis 2008 erschien fast jedes Jahr eine neue Variante des Schädlings. Dann wurde es still um ihn. Ein paar Trittbrettfahrer sprangen auf den Zug auf und versuchten sich an einigen Imitationen von GpCode, die aber nur ein bisschen heiße Luft verbreiteten und keine echte Bedrohung darstellten, da sie keine leistungsstarken kryptographischen Algorithmen verwendeten.

Wie früher schon erläutert, handelt es sich bei diesem Malware-Typ um einen extrem gefährlichen Schädling, da Opfer nur sehr geringe Chancen haben, ihre Daten zurückzuerhalten. Es ist fast so, als wenn man die Daten unwiderruflich von der Festplatte gelöscht hätte. 2006 und 2008 war es uns gelungen, mit Hilfe unserer Entschlüsselungsroutinen einige Wege zur Wiederherstellung, und sogar zur Entschlüsselung der gestohlenen Daten anzubieten.

Nun ist GpCode zurückgekehrt und er ist gefährlicher als jemals zuvor. Im Unterschied zu früheren Varianten löscht dieser Blackmailer die Originaldateien nach der Verschlüsselung nicht. Stattdessen überschreibt er die Daten in den Dateien, wodurch die Verwendung von Datenwiederherstellungsprogrammen wie PhotoRec, die wir bei der letzten Attacke empfohlen hatten, unmöglich gemacht wird.

Vorläufige Analysen zeigten, dass als Kryptoalgorithmen RSA-1024- und AES-256-Schlüssel verwendet wurden. Der Schädling verschlüsselt lediglich Dateiteile, wobei er mit dem ersten Byte beginnt.

Die Erkennung des Schädlings wurde unseren Datenbanken heute als Trojan-Ransom.Win32.GpCode.ax hinzugefügt. Die Virenforscher von Kaspersky Lab arbeiten bereits an weiterführenden Analysen dieses neuen Trojaners und werden Sie über sämtliche Entdeckungen, die bei der Wiederherstellung Ihrer Daten von Nutzen sein können, auf dem Laufenden halten.

Sollten Sie den Verdacht haben, dass Ihr Rechner infiziert wurde, empfehlen wir, keinerlei Änderungen mehr an Ihrem System vorzunehmen, da Änderungen einer potentiellen Datenwiederherstellung im Wege stehen könnten, wenn wir eine Lösung gefunden haben. Sicherer ist es, den Computer abzuschalten oder einen Neustart durchzuführen – trotz der Drohungen der Malware-Schreiblinge, dass die Dateien nach X Tagen gelöscht werden, denn für einen zeitabhängigen Mechanismus zum Löschen von Dateien konnten wir bisher keinen einzigen Beweis feststellen. Allerdings empfiehlt es sich trotzdem, jegliche Änderungen an dem Dateisystem, die beispielsweise durch einen Computer-Neustart verursacht werden könnten, zu vermeiden.

Nutzer, die das Problem bisher ignoriert haben, sollten sich der Gefahr unbedingt bewusst werden und GpCode von der ersten Sekunde an, wenn die Warnmeldung auf dem Bildschein erscheint, erkennen. Durch das Betätigen der Reset/Power-Taste auf dem Desktop lässt sich unter Umständen ein erheblicher Teil der wichtigen Daten retten! Behalten Sie diesen Rat im Hinterkopf und erklären Sie auch Ihren Freunden, was sie tun müssen, wenn sich plötzlich ein Popup-Fenster mit einem Text dieser Art öffnet:

Zögern Sie nicht und schalten Sie Ihren Rechner aus – wenn es am schnellsten geht, ziehen Sie einfach das Stromkabel aus der Steckdose!

Ein weiteres Anzeichen für eine Infektion ist eine abrupte Änderung des Desktophintergrundes in dieser Art:

Wir werden im Verlaufe unserer Analysen immer wieder neue Informationen und Screenshots auf unserer Website posten.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.