Neuer Erpressungs-Trojaner verschlüsselt mit RSA-2048

Bei heise Security melden sich in den letzten Tag vermehrt Betroffene, denen ein Schädling Daten verschlüsselt hat, an die sie dann nur gegen Zahlung eines Lösegeld von 500 Euro oder mehr wieder rankommen. Es handelt sich offenbar um Bitcrypt2, einen Nachfolger des Erpressungs-Trojaners Bitcrypt, der damals noch von findigen Forschern geknackt werden konnte.

Bild 1 von 5

Bitcrypt (5 Bilder)

Bitcrypt Tor-Dienst

Ob das nochmal klappt ist sehr zweifelhaft; das gesamte Auftreten der Erpresser ist so professionell, dass man eine gewisse Lernfähigkeit in Sachen Verschlüsselung durchaus annehmen kann. Das Opfer bemerkt die Infektion häufig erst, wenn er in einem Ordner, in dem sich bis vor kurzem wichtige Daten befanden, eine Datei namens DECRYPT_INSTRUCTION.TXT findet. Die enthält dann in perfektem Deutsch erste Informationen zur Lösegeldübergabe und verweist dazu auf eine spezielle Seite des Anonymisierungs-Netzes Tor. Besonders heimtückisch in Firmenumgebungen: Der Schädling versucht offenbar alle erreichbaren Netzwerk-Laufwerke als der angemeldete Benutzer zu öffnen und die dann verfügbaren Dateien im Netz ebenfalls zu verschlüsseln.

Den Angaben der Gauner zufolge wurden die Daten nach dem RSA-Verfahren mit einem 2048-Bit-Schlüssel chiffriert. Den dazu verwendeten öffentlichen Schlüssel hat sich der Schädling von einem Server der Gauner geholt; der zugehörige geheime Schlüssel, den man zum Entschlüsseln benötigt, verbleibt demnach jedoch dort – zumindest für einen Monat. Dann wird er gelöscht und die Daten sind unwiederbringlich verloren, drohen die Erpresser.

Anfangs kostet das Entschlüsseln 500 bis 600 Euro; die Summe verdoppelt sich jedoch jeweils nach einer Frist von etwa einer Woche. Ob man nach dem Bezahlen tatsächlich wieder Zugang zu seinen Daten bekommt, steht in den Sternen. Die Polizei rät in solchen Fällen jedenfalls stark davon ab, die geforderte Summe zu bezahlen. (ju)