Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
News Disclaimer
Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz

13.04.2011

 zur Newsdatenbank home

Offenbar ist die Masche lukrativ: Lösegeld-Trojaner sperren nach der Infektion eines Rechners den Zugriff für den Anwender und fordern zur Zahlung einer Freischaltgebühr auf. Ein aktuelles Exemplar variiert das Thema und sperrt angeblich die Windows-Lizenz, die sich jedoch über einen angeblich kostenlosen Anruf bei einer Service-Nummer wieder freischalten ließe.

Diese Nachricht kommt nicht von Microsoft und die Sperre ist ein Trick Die Anrufe sind natürlich nicht kostenlos, sondern im Gegenteil teuer: Sie gehen an teure, internationale Rufnummern etwa in Madagaskar. Die Anrufer werden mehrere Minuten in einer Warteschleife hingehalten, damit auch wirklich hohe Gebühren auflaufen, wie der AV-Spezialist F-Secure dokumentiert hat. Die Betrüger können durch die Mithilfe eines Operators das Gespräch nämlich in ein billigeres Land umleiten und dabei einen Teil der Gebühren für den Anruf zur ursprünglich gewählten Nummer selbst einstreichen.

Die Opfer erhielten bei den Testanrufen von F-Secure am Ende immer den gleichen Freischaltcode 1351236. Ob der dann das System wirklich wieder freigibt, ist zwar ungewiss, sie auszuprobieren, kann aber nicht schaden. Wenn das nicht funktioniert, kommt man höchstwahrscheinlich wie auch bei den Vorgängern dieser Masche über eine Boot-CD zumindest an seine Daten und kann dann das System neu installieren.

Deutlich schwieriger wird das, wenn man sich einen der GPcode-Schädlinge eingefangen hat, die ebenfalls wieder vermehrt die Runde machen. Dieser Schädling verschlüsselt die Dateien der Anwender. Das dabei eingesetzte Verschlüsselungs-Verfahren entspricht dem Stand der Technik. GPcode erzeugt auf jedem infizierten System einen zufällig erstellten AES-Schlüssel mit 256-Bit, mit dem er unter anderem alle Doc-, RTF-, Excel- und PDF-Dateien verschlüsselt.

Der AES-Schlüssel wird wiederum mit dem öffentlichen RSA-Schlüssel der Betrüger verschlüsselt und hinterlegt nur die verschlüsselte Version auf dem befallenen System. Somit lässt sich er nur mit deren geheimen Schlüssel wiederherstellen. Die eingesetzten Verschlüsselungsverfahren lassen sich quasi nicht knacken. Damit bleibt nur die Hoffnung auf ein möglichst aktuelles Backup, wie Nicolas Brulez von Kaspersky in seiner GPCode-Analyse feststellt. Wer sich auf das Spiel der Erpresser einlässt und zahlt, riskiert nur, dass das Geld weg ist und die Daten trotzdem verschlüsselt bleiben.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89

 

 

 

 

 

 

 

 

 

 

 

Mailadresse fuer Kontaktaufnahme