Nicht nur Menschen und Tiere können entführt werden, sondern auch Daten. Wie die englische Nachrichten-Seite für Technik eWeek mitteilte, wurde der Computer-Schädling Crysip entdeckt, der Daten auf dem befallenen Rechner verschlüsselt und dann eine Lösegeldforderung stellt. Da sich Trojaner (Trojanische Pferde) nicht selbsttätig verbreiten, müssen sie sich in einem Wirtsprogramm verstecken. Es wird vermutet, dass dieses Exemplar eine SPAM-eMail für seine Ausbreitung nutzt.
Das Programm Crysip kommt mit einer Grösse von 1,19 MB daher und ist es installiert, sucht es auf der Festplatte in dem Laufwerk C nach Dateien. Gesucht werden diverse Dateiformate, wie Word, Exel, PDF und JPG. Die gefundenen Dateien werden gezipt, also verschlüsselt gepackt, die Dateinamen geändert und dem Nutzer eine nun für ihn unbrauchbare Datei hinterlassen. Danach erstellt das Programm eine Textdatei mit dem Namen auto_zip_report.txt. Bei Aufruf erscheint eine Meldung auf dem Bildschirm, verfasst in mangelhaftem Englisch, die dem geschädigten Nutzer vermutlich den Schreck in die Glieder fahren lässt.
Darin erklärt der Verfasser, das Programm habe alle seine Dokumente, Textdateien und Datenbanken mit einem Passwort versehen. Dieses Passwort sei sehr lang, deshalb habe der Nutzer auch mit einem entsprechenden Entschlüsselungsprogramm keine Chance, es herauszufinden. Wenn dem Nutzer seine Daten wichtig seien, könne er das Passwort „erkaufen„, mit 300,- Dollar in der elektronischen Währung E-Gold auf das angegebene E-Gold-Konto. Dieses sei die einzige Möglichkeit, an die Software zu gelangen, die die gekidnappten Dateien wiederherstellt. Danach folgt eine Beschreibung der Vorgehensweise zur Erstellung eines E-Gold-Kontos und der Transferierung des Lösegeldes.
Doch ganz so findig wie es scheint, sind die Daten-Entführer nicht vorgegangen. Das für die Verschlüsselung verwendete Passwort ist in das Schädlingsprogramm eingebettet. Aber es ist nicht auf den ersten Blick zu finden, denn es tarnt sich als Pfad. Das Passwort lautet C:Program FilesMicrosoft Visual StudioVC98. Mit diesem Passwort und einem üblichen Zip-Programm können die gekidnappten Dateien entschlüsselt werden und der Spuk ist vorbei. Dennoch sollten Nutzer, weil nicht jede Attacke so glimpflich ausgeht, die Festplatte partizipieren und wichtige Dateien nicht auf dem Laufwerk C lagern. Außerdem ist es ratsam, regelmässig Sicherungskopien der wichtigsten Dateien zu erstellen.
Update vom 17.03.06:
Wie das Magazin PC-Welt mitteilte, wurden die von den Kidnappern verwendeten E-Gold-Konten mittlerweile gesperrt. Auf diese Konten seien keine nennenswerten Beträge eingegangen. Die Erpresser haben also keinen finanziellen Nutzen aus ihrem Handeln ziehen können. Um wen es sich dabei handelt, sei bisher nicht bekannt.
Hinterlasse jetzt einen Kommentar