Erpresservirus Gpcode wieder im Umlauf

Das Gerücht einer neuen Version des Schadcodes Gpcode hat sich bewahrheitet. Die Sicherheitsexperten von Kaspersky haben die neue Variante gefunden. Sie verbreite sich derzeit mit Hilfe eines Botnetzes. Aus Sicherheitsgründen nennt Kaspersky den Namen des Botnetzes nicht. Der Erpresservirus hinterlässt eine Datei mit dem Namen crypted.txt. Die Datei enthält eine Mail-Adresse, eine ICQ-Nummer und eine URL. Auf der Webseite ist eine Nachricht in russischer Sprache zu lesen, die Anwender darauf hinweist, dass die Dateien auf einem infizierten Rechner mit AES-256 verschlüsselt wurden. Mit einer Brute-Force-Attacke brauche es laut den Cyberkriminellen 1000 Jahre, um die Daten zu entschlüsseln. Gegen eine Bezahlung von 10 US-Dollar würde man jedoch den Schlüssel erhalten. Der Schadcode ändert weiterhin das Hintergrundbild eines betroffenen Rechners.

Kaspersky rät, das Lösegeld nicht zu bezahlen. Es ermutige die Schreiber des Virus nur, weitere Varianten zu produzieren. Man suche nach Möglichkeiten, den Schlüssel zu knacken. Die bereits erforschten Methoden zur Wiederherstellung der Daten funktionieren angeblich teilweise. Informationen dazu finden Sie in dieser TecChannel-Nachricht. (jdo)