Trojaner verschlüsselt Daten und Dokumente [Update]
PGPCODER verschlüsselt auf infizierten Windows-PCs unter anderem DOC-, TXT-, XLS- und DB-Dateien und löscht die Originale. Gegen Geld bietet der Autor des Schädlings den Schlüssel zum Dechiffrieren an.
Der kürzlich aufgetauchte Trojaner PGPCODER.A ist zwar kaum verbreitet, dafür aber umso tückischer. Statt Hintertürchen zu öffnen und Tastatureingaben mitzulesen, verschlüsselt er auf infizierten Windows-PCs sämtliche Dateien mit den Endungen ASC, DB, DB1, DB2, DBF, DOC, HTM, HTML, JPG, PGP, RAR, RTF, TXT, XLS und ZIP. Die Original-Dateien löscht er im Anschluss an die Verschlüsselung. Nach getaner Arbeit löscht sich der Trojaner selbst von der Platte, eine eigene Verbreitungsroutine enthält er nicht.
Anwender können in der Folge mangels Schlüssel die Dateien nicht mehr öffnen. Einen Vorschlag zu Lösung des Problems liefert PGPCODER allerdings gleich mit. So finden sich in den Unterverzeichnissen der von ihm gefundenen Daten und Dokumente in der Dateien ATTENTION!!!.TXT die Nachricht:
Some files are coded.
To buy decoder mail: n781567@yahoo.com
with subject: PGPcoder 000000000032
Dort bietet der Autor des Trojaners den Schlüssel zum Dechiffrieren gegen Geld an.
So scheint es also, als hätten die Schädlingsprogrammierer eine weitere mögliche Einnahmequelle entdeckt: Erpressung. Es ist durchaus denkbar, dass betroffene Anwender bei wichtigen Dokumenten auf die Forderungen eingehen. Immerhin sind nicht zu entschlüsselnde Daten mit einem Datenverlust gleichzusetzen.
Einen ähnlichen Angriffspunkt bietet auch der Passwort-Schutz von Festplatten, wie c't bereits in Heft 8 ab Seite 172 berichtete. Schafft es ein Angreifer durch einen Schädling ein Kennwort zu setzen, ist der Anwender anschließend nicht mehr in der Lage, auf die Platte zuzugreifen -- es sei denn, er kauft vom Autor des Schädlings das Passwort. Bislang sind aber noch keine Trojaner bekannt, die diese Lücke ausnutzen.
Update
Medienberichten zufolge soll der Autor des Trojaners 200 US-Dollar für ein Programm zum Entschlüsseln der Dateien fordern. Zum Geldtransfer wird ein E-Gold-Konto benutzt. Allerdings setzt PGPCoder statt PGP wohl eine proprietäre und leicht zu knackende Methode zum Verschlüsseln oder Codieren ein. So hat der Hersteller von Antivirensoftware Kaspersky eine erste Version des Trojaners bereits im Dezember das erste Mal gesichtet und eine Entschlüsselungsroutine in seine Datenbank aufgenommen.
Siehe dazu auch: (dab)
- Beschreibung TROJ_PGPCODER.A von Trend Micro
- Beschreibung Trojan.Pgpcoder von Symantec
