computerwoche.de

Security

Achtung: Malware verschlüsselt Daten

02.06.2006
Sicherheitsexperten zufolge sind mehrere gefährliche Schädlinge im Umlauf, die das Auslesen von Dateien mit Krypto-Technik verhindern.

Anwender aufgepasst: Sophos warnt vor dem neuen Trojaner "Arhiveus-A", der die Rechner von nichts ahnenden Usern befällt, anschließend die Dateien im Verzeichnis "Eigene Dokumente" verschlüsselt und unter dem Namen "EncryptedFiles.als" abspeichert. Danach löscht sich das Programm. Beim Versuch, die chiffrierte Datei zu öffnen, erhält der Anwender einen Hinweis, dass für die Kodierung ein 30-stelliges Passwort verwendet wurde. Das wollen die Übeltäter dem Opfer nur mitteilen, nachdem dieses bei einer von drei Online-Apotheken etwas eingekauft hat.

Gleichzeitig warnen die Erpresser davor, die Polizei einzuschalten ("they do not know the password"). Auch sei es zwecklos, die E-Mail-Adresse weiterzugeben, denn so verliere man bloß den Kontakt und damit den Zugang zu den Dateien. Die Experten von Sophos haben den Schlüssel jedoch geknackt: Durch die Eingabe der Zeichenkette "mf2lro8sw03ufvnsq034jfowr18f3cszc20vmw" lassen sich nach Aussage von Graham Cluley, Senior Technology Consultant bei Sophos, die kodierten Dateien wieder öffnen.

Derweil mahnen die Experten von Kaspersky Labs in ihrem Blog ebenfalls zur Vorsicht: Dort berichten sie von "zahlreichen E-Mails von Usern, deren Dateien verschlüsselt wurden." Schuld daran soll der Schadcode "Virus.Win32.GpCode.ae" sein, eine Variante eines bereits früher aufgetauchten Schädlings. Im Gegensatz zu dem Vorläufer, der Dateien mit RSA 67 Bit chiffrierte, kommt mit RSA 260 Bit jetzt ein stärkerer Verschlüsselungsalgorithmus zum Einsatz. Eigenen Angaben zufolge arbeitet Kaspersky an einem Entschlüsselungsalgorithmus.

Glücklicherweise scheint sich die Bedrohung zumindest für deutsche Anwender noch in Grenzen zu halten: "Zur Zeit sind vor allem russische Internet-User betroffen, eine Ausbreitung in den Westen konnten wir bislang noch nicht verzeichnen." Es dürfte jedoch nur noch eine Frage der Zeit sein, bis die Schädlinge auch hierzulande zuschlagen.

"Die Versuche von Internet-Hackern, das Geld von unschuldigen Web-Surfern zu stehlen, werden immer kühner", kommentiert Sophos-Experte Cluley. Er sieht die Erpressungsmasche nicht so sehr als Bedrohung für Firmen, weil diese in der Regel Backups ihrer Daten anlegen. Heimanwender, bei denen das häufig nicht der Fall sei, könnten sich jedoch gezwungen sehen, den Forderungen nachzukommen. Das sieht Cluley wiederum als "Ermutigung" für weitere Erpressungsversuche. (ave)