News

GpCode-ähnliche Erpresser-Malware ist wieder da

Aus aller Welt erreichen uns Meldungen von Anwendern, die uns um Hilfe wegen Infektionen bitten, die stark dem von uns im Jahr 2008 identifizierten Trojaner GpCode ähneln.

Zum ersten Mal wurde GpCode 2004 entdeckt, und bis 2008 erschien fast jedes Jahr eine neue Variante des Schädlings. Dann wurde es still um ihn. Ein paar Trittbrettfahrer sprangen auf den Zug auf und versuchten sich an einigen Imitationen von GpCode, die aber nur ein bisschen heiße Luft verbreiteten und keine echte Bedrohung darstellten, da sie keine leistungsstarken kryptographischen Algorithmen verwendeten.

Wie früher schon erläutert, handelt es sich bei diesem Malware-Typ um einen extrem gefährlichen Schädling, da Opfer nur sehr geringe Chancen haben, ihre Daten zurückzuerhalten. Es ist fast so, als wenn man die Daten unwiderruflich von der Festplatte gelöscht hätte. 2006 und 2008 war es uns gelungen, mit Hilfe unserer Entschlüsselungsroutinen einige Wege zur Wiederherstellung, und sogar zur Entschlüsselung der gestohlenen Daten anzubieten.

Nun ist GpCode zurückgekehrt und er ist gefährlicher als jemals zuvor. Im Unterschied zu früheren Varianten löscht dieser Blackmailer die Originaldateien nach der Verschlüsselung nicht. Stattdessen überschreibt er die Daten in den Dateien, wodurch die Verwendung von Datenwiederherstellungsprogrammen wie PhotoRec, die wir bei der letzten Attacke empfohlen hatten, unmöglich gemacht wird.

Vorläufige Analysen zeigten, dass als Kryptoalgorithmen RSA-1024- und AES-256-Schlüssel verwendet wurden. Der Schädling verschlüsselt lediglich Dateiteile, wobei er mit dem ersten Byte beginnt.

Die Erkennung des Schädlings wurde unseren Datenbanken heute als Trojan-Ransom.Win32.GpCode.ax hinzugefügt. Die Virenforscher von Kaspersky Lab arbeiten bereits an weiterführenden Analysen dieses neuen Trojaners und werden Sie über sämtliche Entdeckungen, die bei der Wiederherstellung Ihrer Daten von Nutzen sein können, auf dem Laufenden halten.

Sollten Sie den Verdacht haben, dass Ihr Rechner infiziert wurde, empfehlen wir, keinerlei Änderungen mehr an Ihrem System vorzunehmen, da Änderungen einer potentiellen Datenwiederherstellung im Wege stehen könnten, wenn wir eine Lösung gefunden haben. Sicherer ist es, den Computer abzuschalten oder einen Neustart durchzuführen – trotz der Drohungen der Malware-Schreiblinge, dass die Dateien nach X Tagen gelöscht werden, denn für einen zeitabhängigen Mechanismus zum Löschen von Dateien konnten wir bisher keinen einzigen Beweis feststellen. Allerdings empfiehlt es sich trotzdem, jegliche Änderungen an dem Dateisystem, die beispielsweise durch einen Computer-Neustart verursacht werden könnten, zu vermeiden.

Nutzer, die das Problem bisher ignoriert haben, sollten sich der Gefahr unbedingt bewusst werden und GpCode von der ersten Sekunde an, wenn die Warnmeldung auf dem Bildschein erscheint, erkennen. Durch das Betätigen der Reset/Power-Taste auf dem Desktop lässt sich unter Umständen ein erheblicher Teil der wichtigen Daten retten! Behalten Sie diesen Rat im Hinterkopf und erklären Sie auch Ihren Freunden, was sie tun müssen, wenn sich plötzlich ein Popup-Fenster mit einem Text dieser Art öffnet:

Zögern Sie nicht und schalten Sie Ihren Rechner aus – wenn es am schnellsten geht, ziehen Sie einfach das Stromkabel aus der Steckdose!

Ein weiteres Anzeichen für eine Infektion ist eine abrupte Änderung des Desktophintergrundes in dieser Art:

Wir werden im Verlaufe unserer Analysen immer wieder neue Informationen und Screenshots auf unserer Website posten.

GpCode-ähnliche Erpresser-Malware ist wieder da

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach