Sophos warnt vor dem neuen Trojaner "Arhiveus-A", der die Rechner von nichts ahnenden Usern befällt, anschließend die Dateien im Verzeichnis "Eigene Dokumente" verschlüsselt und unter dem Namen "EncryptedFiles.als" abspeichert. Danach löscht sich das Programm. Beim Versuch, die chiffrierte Datei zu öffnen, erhält der Anwender einen Hinweis, dass für die Codierung ein 30-stelliges Passwort verwendet wurde. Das wollen die Übeltäter dem Opfer nur mitteilen, nachdem dieses in einer von drei Online-Apotheken etwas eingekauft hat.

Gleichzeitig warnen die Erpresser davor, die Polizei einzuschalten ("they do not know the password"). Auch sei es zwecklos, die E-Mail-Adresse weiterzugeben, denn so verliere man bloß den Kontakt und damit den Zugang zu den Dateien. Die Experten von Sophos haben den Schlüssel jedoch geknackt: Durch die Eingabe der Zeichenkette "mf2lro8sw03ufvnsq034 jfowr18f3cszc20vmw" lassen sich nach Angaben von Graham Cluley, Senior Technology Consultant bei Sophos, die codierten Dateien wieder öffnen.

Immer kühnere Methoden

Derweil mahnen die Experten von Kaspersky Labs in ihrem Blog ebenfalls zur Vorsicht: Dort berichten sie von "zahlreichen E-Mails von Usern, deren Dateien verschlüsselt wurden". Schuld daran soll der Schadcode "Virus.Win32.GpCode.ae" sein, eine Variante eines bereits früher aufgetauchten Schädlings. Im Gegensatz zu dem Vorläufer, der Dateien mit RSA 67 Bit chiffrierte, kommt mit RSA 260 Bit jetzt ein stärkerer Verschlüsselungsalgorithmus zum Einsatz. Eigenen Angaben zufolge arbeitet Kaspersky an einem Entschlüsselungsalgorithmus.

Glücklicherweise scheint sich die Bedrohung zumindest für Anwender in Deutschland noch in Grenzen zu halten: "Zurzeit sind vor allem russische Internet-User betroffen, eine Ausbreitung in den Westen konnten wir bislang nicht verzeichnen."

"Die Versuche von Internet-Hackern, das Geld von unschuldigen Web-Surfern zu stehlen, werden immer kühner", kommentiert Sophos-Experte Cluley die neue Masche. (ave)