Interessant ist folgendes:
Kaspersky sagt, dass sie am 4.6. 2008 eine neue variante von gpcode entdecken und macht ihren unorthodoxen aufruf in einem forum(!) an kryptographen,
regierungsstellen (damit ist wohl die nsa gemeint), wissenschaftliche institutionen und andere antiviren hersteller.
Auf F-Secure dagegen steht folgendes: F-Secure Anti-Virus kann den trojaner gpcode entdecken und dateien, die dadurch verschluesselt wurden, entschluesseln. die meldung hat datum 30.5.2008
Auf Viruslist.com (gehoert zu Kaspersky) steht zu Virus.Win32.Gpcode.ak: Status : moderates risiko. darunter dann folgendes:
If you have fallen victim to Gpcode.ak, try to contact us using another computer connected to the Internet. DO NOT RESTART or POWER DOWN the potentially infected machine. Contact us by email 'stopgpcode@kaspersky.com' and tell us the exact date and time of infection, as well everything you did on the computer in the 5 minutes before the machine was infected: which programs you have executed, which websites you have visited, etc. We'll try and help you recover any data that has been encrypted.
sinngemaess sagt das: falls ihr rechner von dem gpcode befallen ist, bitte kaspersky labs umgehend von einem anderen computer aus kontaktieren und genaues datum und zeit der infektion sowie die taetigkeiten (ausgefuehrte programme, besuchte websites...) in den 5 minuten vor befall melden. wir werden ihnen helfen, die verschluesselten daten zu retten.
datum der meldung ist 7.6.2008
das toent recht ernst, aber: der virus loescht die unverschluesselte version der dateien - nach verschluesselung - ganz einfach. also nichts von wipefile. das heisst, dass relativ einfache tools wie undelete die daten zurueckholen koennen. deshalb wohl deren eindringliche warnung, den compi nicht abzuschalten und gar nichts an dem rechner anzufassen.
zudem: forensiker koennen auf die erpressung eingehen und dann den dekryptor analysieren.
der dekryptor kostet 100 oder 200 USD.
die Konten, ueber die abgewickelt werden soll sind:
Liberty Reserve - U6890784
E-Gold - 5431725
E-Gold - 5437838
aufgrund linguistischer analysen der erpressungsmails ist der ursprung wahrscheinlich russisch. die e-mail addys sind zu zwei ip adressen in china. (Liaoning Province Network China Network Communications Group Corporation)
[edit] ach ja, betreffend entschluesseln. RSA 1024 ist mit allgemein erhaeltlichen mitteln mit vernuenftigem aufwand nicht zu knacken. daher wohl kaspersky's aufruf an regierungsstellen.
http://boinc.berkeley.edu/ hat eine infrastruktur fuer entschlesselungsprobleme und andere rechenintensive projekte auf peer to peer basis.