Trojaner verschlüsselt Daten mit RSA-4096 - oder doch nicht? [2. Update]

Die Hersteller von Antivirensoftware weisen auf eine weitere Instanz so genannter Ransomware hin, also Schädlinge, die Dateien auf einem infizierten PC verschlüsseln und nur gegen Lösegeld wieder entschlüsseln. Der neue Erpresser heißt Win32.Gpcode.ai (Kaspersky ) oder Trj/Sinowal (Panda) und gibt vor, die Daten mit RSA-4096 zu verschlüsseln. Da RSA mit dieser Schlüssellänge derzeit als unknackbar gilt, zuletzt wurde Ende 2005 ein RSA-Schlüssel mit 640 Bit faktorisiert, bleibt Opfern auf den ersten Blick nur die Möglichkeit, auf die Forderung einzugehen.

Hello, your files are encrypted with RSA-4096 algorithm (http://en.wikipedia.org/wiki/RSA).

You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us.

To decrypt your files you need to buy our software. The price is $300.

To buy our software please contact us at: xxxxxxx@xxxxx.com and provide us your personal code -xxxxxxxxx. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system.

If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data.

Glücklicherweise ist der Autor des Trojaners nur ein Dampfplauderer: Statt mit RSA-4096 sind die Daten nur mit einer modifizierten Version von RC4 verschlüsselt. Die Spezialisten von Kaspersky wollen eine Entschlüsselungsroutine entwickelt haben und demnächst als Update für ihre Schutzprogramme zur Verfügung stellen. Kaspersky empfiehlt Opfern, das Lösegeld nicht zu zahlen.

Ein ähnliche Situation ergab sich bereits mit dem Ransom-Trojaner PGPCoder Mitte des Jahres 2005, der statt der angekündigten starken Verschlüsselung nur eine proprietäre und leicht zu knackende Methode zum Verschlüsseln oder Kodieren einsetzte. Seinerzeit hatte Kaspersky ebenfalls eine Entschlüsselungsroutine in seine Datenbank aufgenommen.

Wie Sinowal auf den Rechner gelangt, schreiben die Virenspezialisten nicht. Auch über die Zahl infizierter System gibt es unterschiedliche Meldungen. Panda will auf dem Server, an den Sinowal erfolgreiche Infektionen meldet, 1108 befallene Systeme gezählt haben. Prevx, Hersteller von Sicherheitssoftware, kommt indes auf 6317 IP-Adressen.

Update
Der Trojaner dringt über infizierte Webseiten in den PC, auf die ein Opfer etwa über den Link in einer Spam-Mail gelangt. Prevx stellt mittlerweile ein Tool namens Unransom..Me bereit, das die verschlüsselten Daten wiederherstellen soll.

Siehe dazu auch:

• Kaspersky Lab detects new version of Gpcode, Meldung von Kaspersky
• A new case of RansomWare !!!, Meldung von Panda
• Ransomware... Holding Corporate America Ransom!, Blogeintrag von Prevx
• Files held for ransom, Blogeintrag von Trend Micro

(dab)