Anfang Juli schlug das Sicherheitsunternehmen Kaspersky Alarm. Die russischen Schadprogrammfahnder hatten gefährliche Trojaner in der freien Wildbahn des Internets aufgespürt: Ransomware - Schadprogramme, die Dateien im Opfer-PC verschlüsseln und ihre Opfer anschließend erpressen. Kaspersky rief daraufhin die Webgemeinde auf, bei der Entschlüsselung mitzuhelfen. Kritiker vermuteten einen PR-Gag. Und tatsächlich zeigt sich jetzt, dass es gar nicht nötig ist, den Schlüssel herauszufinden. Ein simples Recovery-Programm reicht aus, damit man wieder an die Daten kommt.
Gpcode verschlüsselt Dateien
Gpcode heißt der Übeltäter, der seit Anfang Juni das Internet unsicher macht. Das russische Anti-Virenunternehmen Kaspersky hatte ihn sofort auf seinem Radar. Das Schadprogramm war offenbar in einem russischen Forum aufgetaucht. Sein Auftrag lautete: Infiziere Rechner, suche alle wichtigen Dateien auf diesem Rechner und verschlüssele sie.
Geld gegen Daten
Tatsächlich leistete Gpcode hervorragende Arbeit. Der Trojaner machte sich an Dateien in den populären Formaten doc, pdf, xls, png oder jpg heran und verschlüsselte sie mit Hilfe eines sicheren RSA-1024-Algorithmus. Anschließend hinterließ er eine Meldung, mit der das Opfer aufgefordert wurde, sich über eine Yahoo-Adresse an die kriminellen Schadprogrammverbreiter zu wenden. Gegen Geld sollte es dann ein Entschlüsselungsprogramm geben.
Nägel mit Köpfen
Der Verbreitungsgrad des Trojaners war zum Glück nicht besonders hoch. Das gilt auch jetzt noch. Außerdem wird der Schädling von sämtlichen Antivirenprogrammen erkannt. Trotzdem bleibt natürlich ein Restrisiko, zumal nicht völlig sicher ist, auf welchem Wege sich der Erpressertrojaner im Internet verbreitet. Kaspersky wollte deshalb Nägel mit Köpfen machen.
Entschlüsseler aller Länder vereinigt euch?
In seinem Weblog rief das Unternehmen Verschlüsselungsexperten und sonstige Fachleute auf, bei der Entschlüsselung mitzuhelfen. Ein reiner PR-Gag, vermuteten etliche Sicherheitsexperten. Denn der verwendete Schlüssel sei so sicher, dass eine Entschlüsselung kaum möglich sein. Das hat wohl auch Kaspersky mittlerweile eingesehen. Warum einfach, wenn’s auch kompliziert geht? Das Unternehmen macht nun einen Rückzieher. Denn die russischen Experten haben festgestellt, dass es eine sehr viel einfachere Methode gibt, um an die Originaldaten wieder heranzukommen. Offenbar ist ihnen diese Möglichkeit erst jetzt aufgefallen - „wirkliche“ Experten hätten aber im Grunde schon viel früher darauf kommen müssen.
Recover me
Denn der Trojaner verschlüsselt die Dateien, speichert die verschlüsselten Dateien anschließend auf der Festplatte seiner Opfer ab und löscht die Ursprungsdateien. Jeder halbwegs begabte Windows-Nutzer weiß, dass man gelöschte Daten auch dann wiederherstellen kann, wenn sie sich nicht mehr im Papierkorb befinden. Die Dateien werden ja nicht von der Festplatte gelöscht. Sie sind noch vorhanden, solange sie nicht überschrieben wurden. Mit einem simplen Recovery-Programm lassen sie sich wiederherstellen.
Warum erst jetzt?
Das meint nun auch Kaspersky und empfiehlt den Einsatz eines speziellen Recovery-Programms, um an die gelöschten Originaldateien wieder heranzukommen. In seinem Weblog beschreibt das Unternehmen Schritt für Schritt die Vorgehensweise - ein löbliches, weil hilfreiches Unterfangen. Nur eine Frage bleibt: Warum ist man auf diese nahe liegende Idee erst so spät gekommen?
Zurück zur News-Übersicht