Ransomware

Erpresser-Malware GPcode wieder aufgetaucht

Malware-Forscher haben eine neue Version des erpresserischen Schädlings GPcode entdeckt. Sie wird über Drive-by Downloads verbreitet und arbeitet mit einem 256-Bit AES-Schlüssel sowie einem 1024-Bit RSA-Schlüssel. Die Täter haben außerdem auch die Preise erhöht.

Erpresser-Malware GPcode wieder aufgetaucht

© Kaspersky Lab

Erpresser-Malware GPcode wieder aufgetaucht

Einer der ersten Schädlinge, die erstellt worden sind, um mit der Geiselnahme von Benutzerdateien Geld zu erpressen, ist "GPcode". Im Abstand einiger Monate sind auch in letzter Zeit wieder neue Varianten dieses Schädlings aufgetaucht. Der Antivirushersteller Kaspersky Lab hat nun eine weitere neue GPcode-Version entdeckt, die Dateien verschlüsselt und dann ein Lösegeld verlangt. Nicolas Brulez beschreibt im Kaspersky-Blog die neueste Variante, von Kaspersky als "Trojan-Ransom.Win32.Gpcode.bn" bezeichnet. Der Schädling kann beim Besuch einer Website durch einen Drive-by Angriff auf den PC gelangen, wobei eine Sicherheitslücke im Rechner ausgenutzt wird. Das kann etwa eine Browser-Schwachstelle sein oder eine in einem der Plug-ins wie Java, Flash Player oder Adobe Reader.Der Schädling enthält eine verschlüsselte Konfigurationsdatei, die festlegt, welche Dateitypen GPcode auswählt, um sie zu verschlüsseln. Er generiert dazu einen 256-bittigen AES-Schlüssel, den er mit einem 1024-bittigen RSA-Schlüssel, der in der Malware-Datei steckt, verschlüsselt. Das Ergebnis wird in einer Textdatei abgelegt und zusammen mit einer Nachricht an den Benutzer auf dem Desktop angezeigt.Darin verlangen die Täter die Zahlung von 120 bis 125 US-Dollar, die neuerdings per Ukash-Karte zu entrichten sind. Im Gegenzug soll das Opfer den entschlüsselten AES-Key erhalten, um seine Dateien wieder herstellen zu können. Das ist eine Abkehr von der bislang genutzten Zahlungsmethode, dem Bargeldtransfer. Auch die kürzlich in der Maske der Bundespolizei verbreitete Erpresser-Malware setzt auf Ukash-Karten, ebenso wie Betrüger, die vorgebliche Filesharing-Abmahnungen versenden.Sind die Dateien erst einmal verschlüsselt, gibt es keine realistische Möglichkeit die Verschlüsselung zu knacken. In den ersten GPcode-Versionen wurden noch leicht zu knackende Verschlüsselungsmethoden eingesetzt. Wer keine Backups seiner Dateien hat, bekommt also ein Problem.

Mehr zum Thema

Windows Update: Screenshot
Windows Update jetzt ausführen

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können.…
Whatsapp-Logo
Abofallen und Gewinnspiele

Erhalten Sie per Whatsapp Werbe-Nachrichten zu Whatsapp Gold, klicken Sie getrost auf Löschen. Dahinter verbergen sich Abofallen und dubiose…
Symbolbild: Sicherheit
Kundenpasswörter im Klartext

Bitdefender-Hack: Der Hacker fordert 15.000 US-Dollar, ansonsten würden Nutzerdaten veröffentlicht. Diese speicherte Bitdefender übrigens im…
Flash-Lücke entdeckt
Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.
Symbolbild für Internet-Sicherheit und Spionage
Teslacrypt

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…