Virus verschlüsselt Dateien
- Ersteller FloHoCH
- Erstellt am
Dieser Thread ist Teil einer Diskussion zu einem Artikel:
Zum News-Artikel gehen
Interessant ist folgendes:
Kaspersky sagt, dass sie am 4.6. 2008 eine neue variante von gpcode entdecken und macht ihren unorthodoxen aufruf in einem forum(!) an kryptographen, regierungsstellen (damit ist wohl die nsa gemeint), wissenschaftliche institutionen und andere antiviren hersteller.
Auf F-Secure dagegen steht folgendes: F-Secure Anti-Virus kann den trojaner gpcode entdecken und dateien, die dadurch verschluesselt wurden, entschluesseln. die meldung hat datum 30.5.2008
Auf Viruslist.com (gehoert zu Kaspersky) steht zu Virus.Win32.Gpcode.ak: Status : moderates risiko. darunter dann folgendes:
datum der meldung ist 7.6.2008
das toent recht ernst, aber: der virus loescht die unverschluesselte version der dateien - nach verschluesselung - ganz einfach. also nichts von wipefile. das heisst, dass relativ einfache tools wie undelete die daten zurueckholen koennen. deshalb wohl deren eindringliche warnung, den compi nicht abzuschalten und gar nichts an dem rechner anzufassen.
zudem: forensiker koennen auf die erpressung eingehen und dann den dekryptor analysieren.
der dekryptor kostet 100 oder 200 USD.
die Konten, ueber die abgewickelt werden soll sind:
Liberty Reserve - U6890784
E-Gold - 5431725
E-Gold - 5437838
aufgrund linguistischer analysen der erpressungsmails ist der ursprung wahrscheinlich russisch. die e-mail addys sind zu zwei ip adressen in china. (Liaoning Province Network China Network Communications Group Corporation)
[edit] ach ja, betreffend entschluesseln. RSA 1024 ist mit allgemein erhaeltlichen mitteln mit vernuenftigem aufwand nicht zu knacken. daher wohl kaspersky's aufruf an regierungsstellen.
http://boinc.berkeley.edu/ hat eine infrastruktur fuer entschlesselungsprobleme und andere rechenintensive projekte auf peer to peer basis.
Kaspersky sagt, dass sie am 4.6. 2008 eine neue variante von gpcode entdecken und macht ihren unorthodoxen aufruf in einem forum(!) an kryptographen, regierungsstellen (damit ist wohl die nsa gemeint), wissenschaftliche institutionen und andere antiviren hersteller.
Auf F-Secure dagegen steht folgendes: F-Secure Anti-Virus kann den trojaner gpcode entdecken und dateien, die dadurch verschluesselt wurden, entschluesseln. die meldung hat datum 30.5.2008
Auf Viruslist.com (gehoert zu Kaspersky) steht zu Virus.Win32.Gpcode.ak: Status : moderates risiko. darunter dann folgendes:
sinngemaess sagt das: falls ihr rechner von dem gpcode befallen ist, bitte kaspersky labs umgehend von einem anderen computer aus kontaktieren und genaues datum und zeit der infektion sowie die taetigkeiten (ausgefuehrte programme, besuchte websites...) in den 5 minuten vor befall melden. wir werden ihnen helfen, die verschluesselten daten zu retten.
datum der meldung ist 7.6.2008
das toent recht ernst, aber: der virus loescht die unverschluesselte version der dateien - nach verschluesselung - ganz einfach. also nichts von wipefile. das heisst, dass relativ einfache tools wie undelete die daten zurueckholen koennen. deshalb wohl deren eindringliche warnung, den compi nicht abzuschalten und gar nichts an dem rechner anzufassen.
zudem: forensiker koennen auf die erpressung eingehen und dann den dekryptor analysieren.
der dekryptor kostet 100 oder 200 USD.
die Konten, ueber die abgewickelt werden soll sind:
Liberty Reserve - U6890784
E-Gold - 5431725
E-Gold - 5437838
aufgrund linguistischer analysen der erpressungsmails ist der ursprung wahrscheinlich russisch. die e-mail addys sind zu zwei ip adressen in china. (Liaoning Province Network China Network Communications Group Corporation)
[edit] ach ja, betreffend entschluesseln. RSA 1024 ist mit allgemein erhaeltlichen mitteln mit vernuenftigem aufwand nicht zu knacken. daher wohl kaspersky's aufruf an regierungsstellen.
http://boinc.berkeley.edu/ hat eine infrastruktur fuer entschlesselungsprobleme und andere rechenintensive projekte auf peer to peer basis.
Zuletzt bearbeitet:
Gaby Salvisberg
Super-Moderator
Mögliche Sofortlösung bei Gpcode-Datenverlust
Inzwischen erzählt Kasperksy etwas mehr darüber, wie die durch Gpcode verschlüsselten und anschliessend gelöschten Dateien wieder herstellbar sind.
Im Weblog und hier als Info/Anleitung in der Viruslist. Leider nur in (relativ einfach gehaltenem) Englisch, aber mit Screenshots.
Gaby
Inzwischen erzählt Kasperksy etwas mehr darüber, wie die durch Gpcode verschlüsselten und anschliessend gelöschten Dateien wieder herstellbar sind.
Im Weblog und hier als Info/Anleitung in der Viruslist. Leider nur in (relativ einfach gehaltenem) Englisch, aber mit Screenshots.
Gaby