Thema der Woche

20. Juli 2005

Daten-Geiselnahme

Malware, die Daten auf einer Festplatte verschlüsselt und für die Freigabe (Entschlüsselung) aus dieser Quasi-Geiselhaft vom Anwender Geld fordert, ist [externer Link] nicht neu. Aber sie scheint sich derzeit, vor allem in Russland, massiv zu verbreiten. Alexander Gostev, Senior Virus Analyst bei Kaspersky Lab, schreibt in seiner [externer Link] Analyse aktueller IT-Bedrohungen (Trends 2. Quartal 2005): "Als wir im Dezember 2004 die ersten Exemplare verschiedener, mit einem unbekannten Programm verschlüsselter Dateien erhielten, konnten wir nicht ahnen, dass wir in einem halben Jahr Dutzende dieser Art pro Tag erhalten würden. Das Programm Virus.Win32.Gpcode hat eine neue Seite in der Geschichte der Cyberkriminalität aufgeschlagen." Binnen einer einzigen Woche im Juni seien die Varianten der verwendeten Verschlüsselungsmethode auf über zwei Dutzend angestiegen.

Gleichzeitig habe eine buchstäbliche Schwemme von Briefen betroffener Nutzer aus Russland und – zu einem geringen Teil – auch aus dem Ausland von der Ausbreitung einer regelrechten Erpressungsepidemie im Internet gezeugt. Die Ursachen der offenbar gezielt verlaufenden Infektionen liegen indes noch immer im Dunkeln. Gostev kommentiert: "Leider muss man auch zugeben, dass wir zurzeit keine klare Vorstellung von der Art des Eindringens der Schadprogramme in die betreffenden Systeme haben. Bei der erschreckenden Mehrheit der infizierten Systeme handelt es sich um Banken, verschiedene Finanz- und Werbeagenturen, große Unternehmen, Maklerbüros und andere Netzwerke mit großem Dokumentenumlauf. Unter den Betroffenen befinden sich praktisch keine privaten Nutzer." Einige Spekulationen schildert Gostev [externer Link] in seinem Bericht.

Das Schadprogramm Gpcode durchsucht der Kaspersky-Analyse zufolge nacheinander alle Rechnerverzeichnisse und verschlüsselt alle gefundenen Dateien bestimmter Formate (inkl. E-Mail-Datenbanken) nach einem speziellen Algorithmus. In jedem Verzeichnis mit verschlüsselten Dateien erscheint dann eine Datei readme.txt, in der die Täter eine E-Mail-Adresse zwecks Kontaktaufnahme hinterlassen und dem Nutzer die Entschlüsselung gegen einen bestimmten Geldbetrag anbieten.

Kaspersky Lab warnt jeden Betroffenen dringend davor, solche Zahlungen zu leisten, was scheinbar eine beträchtliche Zahl von Opfern bereits getan hat: "Dadurch haben sie sich nicht nur selbst finanziell geschadet, sondern die Täter auch zur Erstellung neuer Verschlüsselungsvarianten und zu neuen Angriffen auf andere Nutzer ermuntert", bedauert Gostev. Abgesehen von diesen Folgen sei eine Wiederherstellung der Daten auch ohne Mitwirkung der Täter problemlos möglich: "Die verwendeten Algorithmen für die Verschlüsselung von Dateien sind nämlich überaus primitiv und lassen sich mithilfe eines Antivirenprogrammes zum Aufspüren und Reparieren leicht entschlüsseln" – dazu müssten Betroffene lediglich eine der verschlüsselten Dateien zur Analyse an ein Antivirenlabor einsenden. Heise online hat zudem Ende Juni von einem [externer Link] Entschlüsselungs-Tool des spanischen Informatikstudenten Daniel Pérez Álvarez berichtet (inkl. Downloadmöglichkeit) , dass ebenfalls in der Lage sein soll, die "Geiselhaft-Verschlüsselung" aufzuheben.

Kasperky Lab ruft zur Sicherheit alle Spezialisten der zur "Risikogruppe" gehörenden Organisationen auf, alle vorhandenen Systeme und Programme zwecks Aufdeckung ähnlicher Vorfälle sorgfältig zu überprüfen und warnt vor den Folgen einer möglicherweise "besseren" künftigen Daten-Geiselnahme: "Man sollte niemals die obligatorische und regelmäßige Kopie wichtiger Dateien vergessen, um sich so vor Datenverlust zu schützen, sollte eine Entschlüsselung unmöglich sein."

zum nächsten Thema der Woche

zum vorigen Thema der Woche

Valid HTML 4.01! | Valid CSS!

Haben Sie einen Fehler gefunden? Bitte benachrichtigen Sie uns per  E-Mail. Vielen Dank.