c't 7/2016
S. 86
Know-how
Erpressungs-Trojaner analysiert
Aufmacherbild

Trojaner auf Raubzug

Verschlüsselungs-Malware analysiert

Bei Verschlüsselungs-Trojanern handelt es sich in aller Regel um recht einfach gestricktes Teufelszeug. Wir haben uns TeslaCrypt, den Trun-Trojaner und Locky etwas genauer angesehen.

Das Herzstück der Erpressungs-Trojaner ist die Verschlüsselung. Viele behaupten, die Daten mit RSA mit mindestens 2048 oder 4096 Bit zu verschlüsseln. Das soll wohl die Opfer beeindrucken, ist aber Blödsinn. RSA wird eigentlich nie für das Verschlüsseln nennenswerter Datenmengen verwendet – das Verfahren arbeitet dafür viel zu langsam.

Manche Ransomware benutzt zwar RSA. Sie verschlüsselt aber damit lediglich die nur wenige Byte langen Schlüssel – reguläre Verschlüsselungsprogramme machen das übrigens auch so. Die Verschlüsselung der eigentlichen Daten erfolgt immer mit einem schnellen, symmetrischen Verfahren wie AES. Das ist schon mit 128 Bit nicht zu knacken; bei den oft eingesetzten 256-Bit-Schlüsseln ist ein solcher Versuch völlig aussichtslos. Das bedeutet konkret: Ohne den AES-Schlüssel gibt es keinen Zugang zu den Daten.

Kommentieren