Das Schadprogramm Virus.Win32.Gpcode.ai nutzt, wenn es auf den Anwender-PC gelangt, einen komplizierten kryptographischen Algorithmus zur Verschlüsselung persönlicher Dokumente und Archive des Anwenders, die dann nicht mehr geöffnet werden können.
Zudem legt der Schädling read_me.txt-Dateien an, in denen behauptet wird, dass die Dateien unter Verwendung des RSA-4096 Algorithmus verschlüsselt wurden. Die Dechiffrierung benötige mehrere Jahre.
Die Erpresser bieten an, die gestohlenen Daten gegen eine Summe von 300 Dollar zurückzugeben. Nachstehend die Nachricht des sogenannten «Glamorous team», im Original:
Hello, your files are encrypted with RSA-4096 algorithm (http://en.wikipedia.org/wiki/RSA).
You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us.
To decrypt your files you need to buy our software. The price is $300.
To buy our software please contact us at: xxxxxxx@xxxxx.com and provide us your personal code -xxxxxxxxx. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system.
If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data.
Glamorous team
Tatsächlich jedoch verwendet die hier vorliegende Version des Erpresser-Programms statt des RSA-4096- einen modifizierten RC4-Algorithmus. Auch die Virenschreibers Wörter über die Sendung der privaten Daten nach den Verbrechern stellten sich falsch aus, keine Daten wurden gesendet. Im vergangenen Jahr entdeckte Kaspersky Lab mehrfach verschiedene Gpcode-Modifikationen, aber in allen Fällen fanden die Experten des Unternehmens erfolgreich einen Schlüssel zum Dechiffrieren der verschlüsselten Dateien.
Eine Entschlüsselungsroutine für die durch Virus.Win32.Gpcode.ai befallenen Anwenderdateien wurde bereits in die Datenbanken von Kaspersky Lab ergänzt. Kaspersky Lab rät allen Anwendern eindringlich, die Viren-Signaturen zu aktualisieren.
Der proaktive Schutz, der in die Antivirus-Produkte der Versionen 6.0 und 7.0 von Kaspersky Lab integriert ist, schützt die Anwender auch ohne Update der Datenbanken zuverlässig vor dieser Gefahr, da dieses Schadprogramm als Trojan.generic oder Invader erkannt und somit dessen Aktivität blockiert wird. Die Experten von Kaspersky Lab haben zudem bereits eine Desinfektions-Prozedur erstellt, die in Kürze in die Datenbanken aufgenommen wird.
Kaspersky Lab weist eindringlich darauf hin, unter keinen Umständen die geforderten Geldbeträge zu zahlen, sollte Gpcode oder eine andere Erpresser-Software einen Rechner befallen haben. Wenden Sie sich stattdessen unbedingt an Ihren Antivirus-Hersteller. Alle modernen Antivirus-Programme werden mit diesem Problem fertig und können den Zugriff auf die Daten wiederherstellen.
Eine umfangreiche Beschreibung des Erpresser-Programms finden Sie im Informationsportal Viruslist.de unter Virus.Win32.Gpcode.ai
Über Kaspersky Lab
Kaspersky Lab reagiert im weltweiten Vergleich von Antivirus-Herstellern meist am schnellsten auf IT-Sicherheitsbedrohungen wie Viren, Spyware, Crimeware, Hacker, Phishing-Attacken und Spam. Die Produkte des global agierenden Unternehmens mit Hauptsitz in Moskau haben sich sowohl bei Endkunden als auch bei KMUs, Großunternehmen und im mobilen Umfeld durch ihre erstklassigen Erkennungsraten und minimalen Reaktionszeiten einen Namen gemacht. Neben den Stand-Alone-Lösungen des Security-Experten ist Kaspersky-Technologie Bestandteil vieler Produkte und Dienstleistungen führender IT-Sicherheitsunternehmen.
Weitere Details zu OEM-Partnern und zum Unternehmen sind unter www.kaspersky.de zu finden. Aktuelles zu Viren, Spyware und Spam sowie Informationen zu anderen IT-Sicherheitsproblemen und Trends sind unter www.viruslist.de abrufbar.
