Neuer Computervirus: Festplatten-Daten werden verschlüsselt

15. Juni 2008 | ID: 459 | 19 Artikeleinblendungen

Entschlüsselung nur gegen "Lösegeld"

Sicherheitsexperten schlagen Alarm. Ein neues Schadprogramm verschlüsselt Dateien in infizierten Rechnern. Das Entschlüsselungsprogramm gibt es von cyberkriminellen Erpressern gegen Bares - ein kriminelles Geschäftsmodell mit Zukunft, sagen Experten.

Keine Entwarnung an der Wurm- und Virenfront: Die Zahl der Schadprogramme werde sich 2008 im Vergleich zum Vorjahr verzehnfachen, befürchten Experten der russischen Antivirenfirma Kaspersky. 20 Millionen neue Schadprogramme sagen die russischen Experten insgesamt voraus. Andere Sicherheitsunternehmen warten mit ähnlichen Prognosen auf.

"Ihre Dateien wurden verschlüsselt"

"Nicht nur die Quantität, sondern auch die Qualität von Schadprogrammen steigt", hat Kaspersky beobachtet. "Sie verfügen bereits heute über ein breites Spektrum gefährlicher Funktionen und Verbreitungswege." Jüngstes Beispiel ist ein Trojaner namens "Gpcode.ak". Er infiziert Rechner und durchstöbert die Festplatten systematisch nach Textdokumenten mit den Dateiendungen doc, txt und pdf sowie nach Bildern in den Formaten jpg und png. Auch Excel-Dokumente und eine lange Liste weiterer Dateien findet das Programm.

Hat der professionell programmierte Schädling eine solche Datei entdeckt, wird sie automatisch verschlüsselt. Der Nutzer kann sie nicht mehr öffnen. Der von den Cyberkriminellen verwendete Schlüssel ist so sicher, dass er selbst von versierten Profis nur mit unrealistisch hohem Aufwand zu knacken ist. Experten haben berechnet, dass rund 15 Millionen leistungsfähige PCs ein Jahr lang ununterbrochen rechnen müssten, um den passenden Schlüssel zu finden und die Dateien wieder zu entschlüsseln.

Die cyberkriminellen Schadprogrammverbreiter versprechen Hilfe. "Ihre Dateien wurden mit dem RSA-1024-Algorithmus verschlüsselt", meldet der Schädling nach getaner Arbeit. "Zum Entschlüsseln müssen Sie unser Entschlüsselungsprogramm kaufen." Zu erreichen sind die Verbreiter des gefährlichen Trojaners unter einer Adresse beim E-Maildienst Yahoo.

Verbreitungswege ungeklärt

Völlig neu ist weder die cyberkriminelle "Geschäftsidee", Nutzer mit verschlüsselten Dateien zu erpressen, noch das Schadprogramm selbst. Schon vor zwei Jahren haben Online-Erpresser mit Hilfe eines ähnlichen Schädlings versucht, Dateien auf den Rechnern ihrer Opfer durch Verschlüsselung unbrauchbar zu machen. Erst nach Zahlung eines "Lösegeldes" konnten die Dateien wieder entschlüsselt werden.

Das damals in Umlauf gebrachte Schadprogramm wies allerdings erhebliche Programmierfehler auf. Sie machten es möglich, die Verschlüsselung zu knacken und die verschlüsselten Dateien auch ohne "Mithilfe" der kriminellen Schadprogrammverbreiter wieder lesbar zu machen. Der Autor des schädlichen Verschlüsselungstrojaners habe aus seinen Fehlern gelernt, sagen die Experten von Kaspersky. Sein neuer Schädling arbeite fehlerfrei.

Damit nicht genug. Die russische Antivirenfirma hat zwar Exemplare des neuen Schädlings auf Computern ihrer Kunden entdeckt. Bis jetzt ist allerdings immer noch nicht völlig klar, auf welchem Weg das Schadprogramm verbreitet wird. Kaspersky hat den Schädling "im russischen Internet" entdeckt. Er wurde per Massenmail unter die Nutzer gebracht. Denkbar ist aber auch eine Verbreitung über manipulierte Webseiten. Der Besuch einer solchen Webseite würde dann bereits ausreichen, um sich den Trojaner einzufangen.

Kaspersky will den Schlüssel knacken

Anwender sollten deshalb dringend alle Programme aktivieren, die sie auf ihren Rechnern zum Schutz vor Schadprogrammen installiert haben, raten die Sicherheitsexperten. Zudem sollten die neuesten Sicherheitsupdates aller im PC installierten Programme eingespielt werden. Glück im Unglück: Der Verschlüsselungstrojaner scheint derzeit nur selten aufzutreten. Zudem wird er von Virenschutzprogrammen problemlos erkannt.

Die Sicherheitsexperten von Kaspersky wollen ihre Kunden nicht nur schützen, sondern auch versuchen, den Schlüssel, mit dem das Schadprogramm arbeitet, zu knacken. Antivirenspezialisten und Verschlüsselungsexperten überall auf der Welt sind aufgefordert, dabei mitzuhelfen. Einen entsprechenden Aufruf hat die Firma in ihrem Weblog veröffentlicht.

Manche Experten halten von diesem Aufruf überhaupt nichts. Der Versuch, den verwendeten Schlüssel zu knacken, sei völlig unrealistisch, meldete sich etwa der anerkannte Antivirenspezialist Vesselin Bontchev im eigens von Kaspersky eingerichteten "Gpcode"-Forum zu Wort. Es könne sich bei dem Aufruf nur um eine Marketingaktion der russischen Firma handeln, behauptet Bontchev.

Wie man sich schützen kann

Andere Experten versuchen, möglichen Opfern des Verschlüsselungstrojaners mit praktischen Tipps unter die Arme zu greifen. Der Schädling verschlüsselt die Dateien und löscht anschließend die Originale. Offenbar werden diese Dateien beim Löschen aber nicht überschrieben. Die Originaldateien sind weiterhin auf der Festplatte vorhanden und könnten deshalb mit speziellen Recovery-Programmen wiederhergestellt werden.

Sicherheitsexperten wie Günther Welsch vom gemeinnützigen Verein TeleTrusT Deutschland erwarten für die nächsten Jahre eine Zunahme von Schadprogrammen, die den Nutzer mit verschlüsselten Dateien erpressen wollen. Weiter verbesserte Programmversionen, die massenhaft über Spammails oder manipulierte Webseiten verbreitet werden, könnten den Cyberkriminellen einen lukrativen Markt eröffnen.

Dabei kann man sich vor solchen Machenschaften prinzipiell recht einfach schützen. Wer seine Dokumente und Dateien in regelmäßigen Abständen auf einer separaten Festplatte oder einem anderen externen Datenträger abspeichert, ist auf der sicheren Seite. Es gilt die Regel: Wer Sicherheitskopien hat, braucht den Verschlüsselungstrojaner nicht zu fürchten.

Quelle: www.heute.de

Soziale Netzwerke: