Neues Kaspersky-Tool für GPcode-Trojaner-Betroffene
Sicherheitsspezialisten von Kaspersky haben ein Programm veröffentlicht, das unter gewissen Umständen einen Großteil der vom GPcode.ak-Trojaner verschlüsselten Dateien wieder dekodieren kann.
- Christiane Rütten
Sicherheitsspezialisten des AV-Herstellers Kaspersky haben ein Tool veröffentlicht, das vom GPcode.ak-Trojaner verschlüsselte Dateien unter gewissen Umständen dekodieren kann. Nach Entwicklerangaben benötigt das Windows-Programm, das den Namen "StopGpcode2" trägt, dafür möglichst viele Paare aus verschlüsselten Dateien und den dazugehörigen Klartextdateien. Diese können etwa aus einem Backup stammen oder von einer Software wie PhotoRec aus den beim Löschen durch den Trojaner freigewordenen Festplattensektoren rekonstruiert worden sein.
Die Erfolgsquote soll bis zu 80 Prozent betragen und von nicht näher genannten Charakteristika des infizierten Systems abhängig sein. Möglicherweise könnten Betroffene darauf verzichten, das "offizielle" Entschlüsselungstool des Erpressers kaufen zu müssen, heißt es. Die Vorgängerversion des Trojaners, darunter GPcode.ai und PGPcode.A, ließ sich aufgrund eines schwachen Verschlüsselungssystems vergleichsweise leicht knacken. Die neue Variante arbeitet jedoch mit einem Hybridverfahren aus RC4 und RSA, das die Krypto-Experten nun schon etwas länger beschäftigt: Aus einem zufällig gewählten Masterschlüssel leitet der Trojaner einen RC4-Sitzungsschlüssel je Datei ab. Den Masterschlüssel speichert er RSA-verschlüsselt auf dem infizierten System.
Brute-Force-Angriffe gegen den RSA-Schlüssel des Erpressers, um die Masterschlüssel dechiffrieren zu können, blieben bislang erfolglos. Offenbar verwenden die Kaspersky-Spezialisten nun aber einen Klartextangriff auf die Sitzungsschlüssel. Obwohl RC4 auch die Grundlage der unsicheren WEP-Verschlüsselung ist, die sich im Handumdrehen knacken lässt, ist der Algorithmus nicht per se besonders schwach. Der wunde Punkt von WEP ist ebenfalls die Methode, aus dem Masterschlüssel (WEP-Kennwort) die Sitzungsschlüssel für die einzelnen Netzwerkpakete abzuleiten.
Siehe dazu auch:
- Another way of restoring files after a Gpcode attack, Blog-Eintrag bei Kaspersky
- Verschlüsselungstrojaner GPcode ein Schnippchen schlagen, Meldung auf heise Security
(cr)
