Thema: Trojaner verschlüsselt Daten und Dokumente

[SiLæncer]

Der kürzlich aufgetauchte Trojaner PGPCODER.A ist zwar kaum verbreitet, dafür aber umso tückischer. Statt Hintertürchen zu öffnen und Tastatureingaben mitzulesen, verschlüsselt er auf infizierten Windows-PCs sämtliche Dateien mit den Endungen ASC, DB, DB1, DB2, DBF, DOC, HTM, HTML, JPG, PGP, RAR, RTF, TXT, XLS und ZIP. Die Original-Dateien löscht er im Anschluss an die PGP-Verschlüsselung. Nach getaner Arbeit löscht sich der Trojaner selbst von der Platte, eine eigene Verbreitungsroutine enthält er nicht.

Anwender können in der Folge mangels Schlüssel die Dateien nicht mehr öffnen. Einen Vorschlag zu Lösung des Problems liefert PGPCODER allerdings gleich mit. So finden sich in den Unterverzeichnissen der von ihm gefundenen Daten und Dokumente in der Dateien ATTENTION!!!.TXT die Nachricht:

Some files are coded.
To buy decoder mail: n781567@yahoo.com
with subject: PGPcoder 000000000032

Dort bietet der Autor des Trojaners den Schlüssel zum Dechiffrieren gegen Geld an.

So scheint es also, als hätten die Schädlingsprogrammierer eine weitere mögliche Einnahmequelle entdeckt: Erpressung. Es ist durchaus denkbar, dass betroffene Anwender bei wichtigen Dokumenten auf die Forderungen eingehen. Immerhin sind nicht zu entschlüsselnde Daten mit einem Datenverlust gleichzusetzen.

Einen ähnlichen Angriffspunkt bietet auch der Passwort-Schutz von Festplatten, wie c't bereits in Heft 8 ab Seite 172 berichtete. Schafft es ein Angreifer durch einen Schädling ein Kennwort zu setzen, ist der Anwender anschließend nicht mehr in der Lage, auf die Platte zuzugreifen -- es sei denn, er kauft vom Autor des Schädlings das Passwort. Bislang sind aber noch keine Trojaner bekannt, die diese Lücke ausnutzen.

Quelle und Links : http://www.heise.de/newsticker/meldung/59819

[Jürgen]

Ich hoffe, die obige e-Mail-Adresse hat inzwischen jeder Spammer, Hacker, Mafioso oder sonstwie übler Junge...

Ansonsten ist's wie immer, backup rulez!
Auch ein Papierkorb mit doppeltem Boden, wie z.B. von Norton, kann durchaus Sinn machen, guter und aktueller Virenschutz ist unter Win unverzichtbar.

[Warpi]

Wichtige Sachen vertraue ich meiner Linux - Büchse an.
Aber auch hier gilt (und für jedes andere Os)  : Backup rulez ...

[SiLæncer]

Medienberichten zufolge soll der Autor des Trojaners 200 US-Dollar für ein Programm zum Entschlüsseln der Dateien fordern. Zum Geldtransfer wird ein E-Gold-Konto benutzt. Allerdings setzt PGPCoder statt PGP wohl eine proprietäre und leicht zu knackende Methode zum Verschlüsseln oder Codieren ein. So hat der Hersteller von Antivirensoftware Kaspersky eine erste Version des Trojaners bereits im Dezember das erste Mal gesichtet und eine Entschlüsselungsroutine in seine Datenbank aufgenommen.

Quelle : www.heise.de

[SiLæncer]

Der spanische Informatikstudent Daniel Pérez Álvarez hat ein kleines Programm entwickelt, das die durch den Wurm PGPcoder verschlüsselten Dateien wiederherstellen kann. Trotz des hochtrabenden Namens verwendet der Wurm nämlich keineswegs PGP zum Verschlüsseln, sondern ein einfaches, selbstgestricktes Verfahren. Zum Entschlüsseln genügt die folgende Schleife:

char x = 0x3A;
...
for (i = 0; i < BUFF_SIZE; i++) {
   buffer = buffer - x;
   x = (x * 0x25) + 0x5C;
}

In Tests von Maik Morgenstern von AV-Test konnte das Programm tatsächlich Dateien beliebiger Formate fehlerfrei rekonstruieren. Einige Hersteller von Antiviren-Software wie Kaspersky haben offenbar ebenfalls Entschlüsselungsprogramme entwickelt, die sie aber nur auf Anfrage zur Verfügung stellen. heise Security stellt das kleine Programm von Daniel Pérez Álvarez mit freundlicher Genehmigung des Autors hier zum Download bereit. Das ZIP-Archiv enthält den C-Quellcode und jeweils eine übersetzte Version für Linux und Windows. Das Programm ist auf der Kommandozeile zu starten und erwartet den Dateinamen der zu entschlüsselnden Datei als Parameter.

Quelle und Links : http://www.heise.de/newsticker/meldung/60876

[SiLæncer]

Wer hinter dem neuen Schädling Troj/Zippo-A einen Trojaner für Sturmfeuerzeuge vermutet, liegt voll daneben. Zippo-A ist nämlich eine weitere Ausgabe eines dokumentenverschlüsselnden Schädlings. Ein erstes Exemplar trat unter dem Namen PGPCoder bereits im Mai letzten Jahres auf den Plan.

Der neue Verschlüssler sucht auf der Windows-Festplatte ebenfalls nach Word-Dokumenten, Datenbanken und Tabellenkalkulationen und verschiebt sie in ein passwortgeschütztes ZIP-Archiv. In einer separaten Textdatei informiert Zippo den Anwender, wie er wieder an seine Daten gelangt: Für 300 US-Dollar an ein E-Gold-Konto erhält man das Passwort per Mail. Anschließend löscht sich der Schädling selbst von der Platte.

Glücklicherweise haben die Virenspezialisten von Sophos beim Disassemblieren des Schädlings das Passwort herausgefunden. Sinnigerweise ist es der Pfadname zur Entwicklungsumgebung, in der Zippo erstellt wurde: C:\Program Files\Microsoft Visual Studio\VC98. Betroffene Anwender können sich das Geld somit sparen und für Literatur über Gefahren im Internet ausgeben. Wie Zippo sich verbreitet, ist noch nicht genau geklärt; wahrscheinlich wird er per Mail über Spamlisten verschickt. Derzeit scheint er auch nicht besonders weit verbreitet zu sein.

Apropos Zippo: Der Entwickler des gleichnamigen Sturmfeuerzeugs George G. Blaisdell ließ sich bei der Namensgebung durch eine andere Erfindung seiner Zeit inspirieren, der Reißverschluss oder auch Zipper genannt – an dessen Namen sich heutezutage Packer anlehnen.

Siehe dazu auch:

    * Zippo Trojan horse demands $300 ransom for victims' encrypted data, Mitteilung von Sophos


Quelle und Links : http://www.heise.de/newsticker/meldung/70923

[SiLæncer]

So genannte Ransomware könnte für Antivirus-Firmen bald unknackbar werden, wenn der Trend zu starker Verschlüsselung gekaperter Dateien anhält.

Die ersten Vertreter der Gattung "Ransomware" (Erpresserprogramme) tauchten Ende 2004 auf und benutzte noch eine sehr einfache Verschlüsselung. Trojanische Pferde wie "Gpcode" wurden zudem fast ausschliesslich in Russland gesichtet. Inzwischen setzen die Programmierer immer stärkere Verschlüsselungsmechanismen ein, wie der Antivirus-Hersteller Kaspersky Lab berichtet. Damit wird es für die Sicherheitsunternehmen auch immer schwieriger die Verschlüsselung zu knacken.
 

Die Schädlinge werden meist unter einem Vorwand per Mail zugesandt. So erhielten vor einigen Wochen alle, die sich auf einer russischen Website für Arbeitssuche eingetragen hatten, eine vorgebliche Antwort auf ihr Stellengesuch. Wer die mitgeschickte Programmdatei leichtfertig ausführte, dessen persönliche Dateien wurden verschlüsselt und die Originale überschrieben.

Die Opfer wurden nun aufgefordert eine Zahlung von einigen hundert Dollar auf ein Konto des Täters zu leisten und sollten dann das Passwort für die Entschlüsselung erhalten. Gelang es den Spezialisten bei Kaspersky Labs zunächst noch die Verschlüsselung binnen Minuten zu knacken, benötigten sie für einen im Frühjahr 2006 verwendeten 330-Bit-RSA-Schlüssel bereits 24 Stunden.

Der Virusautor reagierte darauf Anfang Juni mit dem Einsatz eines 660-Bit-Schlüssels, bei dem ein PC mit 2,2-GHz-Prozessor über 30 Jahre brauchen würde, um ihn zu knacken. Durch nicht näher bezeichnete, begünstigende Umstände (mutmaßlich Programmierfehler) gelang die Entschlüsselung noch an demselben Tag. Eine neuere Variante von Gpcode ist bisher nicht aufgetaucht. Andere Schädlinge, die in Großbritannien ("MayArchive") und den USA (" Cryzip ") gesichtet wurden, verwendeten ZIP-Archive, die mit einem mehr als 30 Zeichen langen Passwort geschützt waren.

Den Malware-Forschern ist klar, dass eine sorgfältigere Implementierung eines starken Chiffrierverfahrens den Code praktisch unknackbar machen würde. Daher ist es wichtig, dass Anwender regelmäßige Backups ihrer wichtigen Daten anlegen. Der Virenforscher Alexander Gostev von Kaspersky Labs fordert, Antivirus-Software müsse zukünftig geeignete Methoden enthalten, um bereits die Verschlüsselung von Benutzerdaten zu verhindern.

Quelle : www.pcwelt.de

[Jürgen]

Genau, Backup rulez 

Und zumindest moderne IDE-Festplatten lassen sich mit MAXLLF o.ä. low-level-formatieren, von einer schreibgeschützten Boot-Diskette.
Da bleibt kein Windows-Schädling am Leben.
Ob das allerdings auch mit solchen Platten noch klappt, bei denen zusätzlich die Hardware-Verschlüsselung per Platten-Frimeware aktiviert wurde, weiss ich nicht.
Was soll's, meist sind die Daten weit wichtiger als eine Platte, die partout nicht mehr will.

[Warpi]

Vor allem weil Festplatten immer billiger werden. Bei Ebay hab ich eine 400 Gig Hd für 112 Euro entdeckt.
Für Backupzwecke benutze ich eine externe Usbplatte. Die wandert nach dem Backup in den Schrank.
Besser als das ewige Cd, Dvd brennen. Wer auf Langzeitstabilität Wert leg sollte einen Datstreamer in Erwägung ziehen. Und natürlich den Einsatz eines alternativen Betriebssystems.

[Jürgen]

Sichern sollte man nicht nur auf einen Datenträger. Und immer mehr als eine Generation aufbewahren, an verschiedenen Orten, reihum tauschen.

Ich sichere seit einiger Zeit auch (direkt) auf Platten. Es handelt sich um solche, die zwar fehlerfrei aber inzwischen für den ursprünglichen Zweck zu klein geworden sind. 40 / 60 / 80 GB, nur logische Laufwerke nach Bedarf.
Angeschlossen bzw. gewechselt auch am lebenden System, da über einen externen USB2-IDE-Controller (ohne Gehäuse) eingebunden.

Das hat nicht unbedingt mit dem / den BS zu tun, auch ein schon recht gut funktionierendes (Test-)Linux verdient ein Backup. Erst funktionierende Sicherungen vorbereiten, dann langsam produktiv einsetzen. Nicht anders herum, denke ich.

Die Arbeit, die in einem gut funktionierenden Sytem steckt, macht man ja ungern ein zweites Mal. Und wer erinnert überhaupt bei Bedarf alle Tricks und Patches, die sich angesammelt haben...

[Warpi]

Die relative Sicherheit unter Linux oder Mac Os ist viel höher als unter Windoze.
Und ein Plattenimage unter Linux zu ziehen ist nun auch nicht so schwer. 
Vor allem wenn das Windozesystem schon "verseucht" ist.
Da ist man richtig froh das es Knoppix oder Kanotix gibt.


http://de.wikipedia.org/wiki/Backup

[SiLæncer]

Die Hersteller von Antivirensoftware weisen auf eine weitere Instanz so genannter Ransomware hin, also Schädlinge, die Dateien auf einem infizierten PC verschlüsseln und nur gegen Lösegeld wieder entschlüsseln. Der neue Erpresser heißt Win32.Gpcode.ai (Kaspersky ) oder Trj/Sinowal (Panda) und gibt vor, die Daten mit RSA-4096 zu verschlüsseln. Da RSA mit dieser Schlüssellänge derzeit als unknackbar gilt, zuletzt wurde Ende 2005 ein RSA-Schlüssel mit 640 Bit faktorisiert, bleibt Opfern auf den ersten Blick nur die Möglichkeit, auf die Forderung einzugehen.

Hello, your files are encrypted with RSA-4096 algorithm (http://en.wikipedia.org/wiki/RSA).

You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us.

To decrypt your files you need to buy our software. The price is $300.

To buy our software please contact us at: xxxxxxx@xxxxx.com and provide us your personal code -xxxxxxxxx. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system.

If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data.

Glücklicherweise ist der Autor des Trojaners nur ein Dampfplauderer: Statt mit RSA-4096 sind die Daten nur mit einer modifizierten Version von RC4 verschlüsselt. Die Spezialisten von Kaspersky wollen eine Entschlüsselungsroutine entwickelt haben und demnächst als Update für ihre Schutzprogramme zur Verfügung stellen. Kaspersky empfiehlt Opfern, das Lösegeld nicht zu zahlen.

Ein ähnliche Situation ergab sich bereits mit dem Ransom-Trojaner PGPCoder Mitte des Jahres 2005, der statt der angekündigten starken Verschlüsselung nur eine proprietäre und leicht zu knackende Methode zum Verschlüsseln oder Kodieren einsetzte. Seinerzeit hatte Kaspersky ebenfalls eine Entschlüsselungsroutine in seine Datenbank aufgenommen.

Wie Sinowal auf den Rechner gelangt, schreiben die Virenspezialisten nicht. Auch über die Zahl infizierter System gibt es unterschiedliche Meldungen. Panda will auf dem Server, an den Sinowal erfolgreiche Infektionen meldet, 1108 befallene Systeme gezählt haben. Prevx, Hersteller von Sicherheitssoftware, kommt indes auf 6317 IP-Adressen.

Siehe dazu auch:

    * Kaspersky Lab detects new version of Gpcode, Meldung von Kaspersky
    * A new case of RansomWare !!!, Meldung von Panda
    * Ransomware... Holding Corporate America Ransom!, Blogeintrag von Prevx

Quelle und Links : http://www.heise.de/security/news/meldung/92956

[SiLæncer]

Ein neuerartiger Trojaner schließt Anwender aus ihrem Windows-PC aus und fordert anschließend Lösegeld, das berichten mehrere Hersteller von Antivirensoftware. Nach Angaben von Dr. Web soll der Trojan.Winlock getaufte Schädling bislang nur im russischen Teil des Word Wide Web kursieren und sich als Video-Codec tarnen. Per Download gelangt er auf den Rechner, den er so manipuliert, dass der Anwender beim Start nur einen (russischen) Dialog mit Hinweisen zum Freischalten sieht. Dazu soll das Opfer eine angezeigte Zahl an eine sogenannten SMS-Premiumnummer mit hohen Gebühren senden und erhält als Antwort den Freischaltcode.

To unlock you need to send an SMS with the text xxxxxxxxxxxxxx to the number
3649
Enter the resulting code:

Any attempt to reinstall the system may lead to loss of important information and computer damage

Anders als bei dem Verschlüsselungs-Trojaner GPCode und seinen Nachfolgern manipulierte Trojan.Winlock aber nicht die Dateien, sondern gewährt nur keinen Zugriff auf den Desktop und die Anwendungen. Mit einer Boot-CD käme man ohne Probleme an seine Dateien und könnte den Trojaner auch entfernen. Das dürfte aber vermutlich die Fähigkeiten vieler Anwender übersteigen, die dann auf die Schnelle ihr Glück mit einer SMS versuchen. Trend Micro spekulierte bereits in seinem Annual Threat Report vom März über einen kommenden Anstieg der Erpressungs-Schädling und -Angriffe (Ransomware) ab dem zweiten Quartal dieses Jahres.

Der Algorithmus zur Berechnung des Freischaltcode soll allerdings sehr trivial sein. Dr. Web hat auf seinen Seiten praktischerweise ein Tool bereit gestellt, das aus den angezeigten Nummern den Freischaltcode berechnen soll.

Auch der derzeit grassierende Conficker-Wurm sperrt unter Umständen Anwender aus dem System aus. Allerdings fordert er bislang kein Lösegeld.

Quelle : www.heise.de

[SiLæncer]

Laut Sicherheitsexperten ist derzeit eine neue Welle an Erpresser-Trojanern unterwegs. Nutzer sollen zahlen, um Daten wieder zu entschlüsseln.

GpCode ist bei Windows-Nutzern berüchtigt und gefürchtet. Die Malware verschlüsselt Daten und will diese nur mittels Lösegeld wieder freigeben. Kaspersky-Mitarbeiter Vitaly Kamluk hat eine neue Variante - Trojan-Ransom.Win32.GpCode.ax - gefunden. Diese funktioniert ähnlich, wie bisherige Versionen. Bestimmte Daten werden mit RSA-1024 und AES-256 verschlüsselt. Diese geben die Erpresser für ein Lösegeld von 120 US-Dollar dann wieder frei.

Kaspersky hat noch eine andere Version eines Erpresser-Virus - Trojan-Ransom.Win32.Seftad.a - entdeckt, die aber wesentlich weniger ausgeklügelt ist. Diese Malware kopiert sich lediglich in den MBR und startet den Rechner neu. Danach verlangt sie ein Lösegeld von 100 Euro. Die Behauptung, dass die Festplatte verschlüsselt ist, ist aber nur ein Bluff. Das gilt auch für die Lösegeldforderung. Anwender können den MBR mittels verschiedener Tools wieder herstellen. Ebenso ist es möglich, die Webseite zu besuchen und das Passwort aaaaaaciip benutzen.

Quelle : www.tecchannel.de