Weitere Erkenntnisse über den Erpresser-Virus Gpcode veröffentlicht

Vor kurzer Zeit warnten die Sicherheitsexperten von Kaspersky vor einer neuen Variante des Erpresservirus Gpcode, TecChannel berichtete. Dieser verschlüsselt Daten auf den Rechnern der Opfer mit 1024-Bit RSA und verlangt ein Lösegeld für den Erhalt des Schlüssels. Kaspersky rief darauf hin zu Cracken des Schlüssels auf. Ebenso fand man bereits heraus, dass sich Daten eventuell mittels Tools wie zum Beispiel PhotoRec wieder herstellen lassen, TecChannel berichtete.

Nun gibt es eine weitere Erkenntnis, die dem Virus den Wind etwas aus den Segeln nehmen könnte. Den RSA-Schlüssel hat man zwar noch nicht gefunden, allerdings gäbe es einige neue Erkenntnisse. Eine tiefe Analyse des Gpcode-Codes ergab, dass der Erschaffer des Virus einen Fehler gemacht hat. Es ist unter Umständen möglich, die verschlüsselten Dateien ohne den dazu eigentlich notwendigen Key zu entschlüsseln. Die Methode zeigt sich zwischen Null und 98 Prozent effektiv. Man könne derzeit nicht genau sagen, wie viel Prozent der Dateien sich aus dem Griff von Gpcode lösen lassen. Im Moment bastle man bei Kaspersky an einem Wiederherstellungs-Tool, dass die entdeckte Methode verwendet.

Ebenso wisse man nun die Verbreitungsmethode von Gpcode. Er benutzt dabei andere schädliche Programme, die den Virus nachträglich herunterladen – wie Trojaner-Downloader. Gpcode tauchte bisher nur auf Rechnern auf, die schon mit anderem Schadcode infiziert waren. (jdo)