Trojaner GPcode ein Schnippchen schlagen |
|
Wer von dem Trojaner GPCode betroffen ist für den ist vielleicht die folgende Information von Interesse - Bei GPCode handelt es sich um ein Schadprogramm, das auf dem infizierten Computer Anwender-Dateien verschlüsselt.
Zitat: |
Verschlüsselungstrojaner GPcode ein Schnippchen schlagen
Da das Knacken des vom Verschlüsselungstrojaner GPcode[1] benutzten
RSA-Schlüssels nach einhelliger Meinung[2] derzeit kaum zu
bewerkstelligen ist, schlägt Kaspersky nun betroffenen Anwendern
alternativ vor, die gelöschten Originale wieder zu restaurieren. Dazu
empfehlen sie den Einsatz des kostenlosen Datei-Rekonstruktionstools
PhotoRec[3]. Anders als der Name es vermuten lässt, kann das Tool
nicht nur gelöschte Fotos wiederherstellen, sondern eine Vielzahl
weiterer Dateiformate wie .doc, html, .pdf. txt, .zip, .mp3 und so
weiter. Eine vollständige Liste findet sich hier: File Formats
Recovered By PhotoRec[4].
Die Rekonstruktion funktioniert, weil GPcode die verschlüsselte
Version eines Dokuments in eine neue Datei schreibt und anschließend
das Original löscht. Da Windows aber nur die Referenz im Dateisystem
löscht, ist die Datei weiterhin vorhanden und lässt sich erfolgreich
rekonstruieren – solange der Anwender nicht allzu viel weitere
Änderungen auf der Festplatte vorgenommen hat.
PhotoRec stellt aber alle gelöschten Dateien wieder her, auch solche,
die der Anwender selbst und nicht GPcode gelöscht hat. Da das Tool
zudem keine Pfade restaurieren kann, müsste man sich mühsam durch ein
große Liste von Dateien arbeiten. Um diese Arbeit zu erleichtern, hat
Kaspersky das Tool StopGPcoder[5] veröffentlicht, das durch einen
Vergleich der verschlüsselten und restaurierten Dateien die richtigen
herauszufinden versucht. Kaspersky hat eine detaillierte Anleitung[6]
aller erforderlichen Schritte und Download-Links in der Rubrik "File
Recovery" zu der Beschreibung von GPcode veröffentlicht.
PhotoRec dient aber nicht nur Windows-Anwendern zu Rettung ihrer Daten.
Es läuft auch unter Linux, FreeBSD, NetBSD, OpenBSD, Sun Solaris sowie
Mac OS X und unterstützt die Dateisysteme FAT, NTFS,
EXT2/EXT3-Dateisysteme und HFS+ auf unterschiedlichen Medien.
Laut einem Bericht von SecurityFocus[7] hätte der mutmaßliche Autor
von GPcode nach dem erfolgreichen Knacken des RSA-Schlüssels in
künftigen Versionen die Schlüssellänge auf 4096 Bit erhöht, womit
erfolgreiche Angriffe vollends außer Reichweite gelangt wären.
Allerdings wäre dann zu überlegen, ob man sich nicht lieber dem
Knacken des RC4-Schlüssels widmet.
Die Dateien selbst sind mit dem auf XOR-Verknüpfungen beruhenden
Stromchiffre RC4[8] verschlüsselt, nur der RC4-Schlüssel ist mit RSA
geschützt. RC4 gilt zwar als hinreichend sicher, allerdings nur, wenn
er korrekt initialisiert[9] wird und keine schwachen Schlüssel
verwendet. Der WLAN-Verschlüsselungsstandard WEP gilt aufgrund
schwacher Initialisierungsvektoren als mittlerweile leicht angreifbar.
Siehe dazu auch:
Restoring files attacked by Gpcode.ak[10], Blogeintrag von Kaspersky
Virus.Win32.Gpcode.ak[11], Beschreibung von Kaspersky
(dab[12]/c't)
URL dieses Artikels:
http://www.heise.de/newsticker/meldung/109551
Links in diesem Artikel:
[1] http://www.heise.de/security/Kaspersky-b.../meldung/109172
[2] http://www.theregister.co.uk/2008/06/13/...jan_code_break/
[3] http://www.cgsecurity.org/wiki/PhotoRec
[4] http://www.cgsecurity.org/wiki/File_Form...red_By_PhotoRec
[5] http://www.kaspersky.com/downloads/misc/stopgpcode_tool.zip
[6] http://www.viruslist.com/en/viruses/ency...?virusid=313444
[7] http://www.securityfocus.com/news/11523/2
[8] http://de.wikipedia.org/wiki/RC4
[9] http://www.drizzle.com/~aboba/IEEE/rc4_ksaproc.pdf
[10] http://www.viruslist.com/en/weblog?weblogid=208187531
[11] http://www.viruslist.com/en/viruses/ency...?virusid=313444
[12] mailto:dab@ct.heise.de
------------------------------------------------------------------------
Copyright 2008 Heise Zeitschriften Verlag
|
|
Quelle: Heise Online
|