Der Erpresser-Virus Gpcode namens Virus.Win32.Gpcode.ak verschlüsselt auf der Festplatte des Opfers Dateien mit den Erweiterungen DOC, TXT, PDF, XLS, JPG, PNG, CPP. Zum Verschlüsseln benutzt der Schädling einen RSA-Algorithmus mit einem Schlüssel von 1024 Bit Länge. Nach dem Verschlüsseln der Dateien hinterlässt er die folgende Nachricht, informiert der Antiviren-Hersteller Kaspersky Lab: “Your files are encrypted with RSA-1024 algorithm. To recovery your files you need to buy our decryptor. To buy decrypting tool contact us at: ********@yahoo.com”.
Man mag sich in diesem Augenblick die Folgen nicht vorstellen wollen, zumal eine Wiederherstellung der verschlüsselten Daten nicht möglich ist (siehe unten: Problem gelöst), ohne dem Erpresser entgegen zu kommen: Geld gegen Entschlüsselungsprogramm. Solch ein Deal ist vermutlich auch der Grund, warum immer neue Schädliche unsere Computersysteme bedrohen, denn damit lässt sich ordentlich Kohle verdienen.
Erkannt wird der Vrus z. B. von Kaspersky Lab. Dazu muss die Antiviren-Siftware natürlich auf dem neuesten Stand sein. Virus.Win32.Gpcode.ak wurde am Abend des 4. Juni 2008 in die Virus-Datenbank von Kaspersky Lab aufgenommen. Nutzer mit einem aktuellen Virenschutz von Kaspersky Lab sind daher vor einer Infektion geschützt.
Was tun, wenn der Rechner betroffen ist?
- PC nicht ausschalten und nicht neu starten
- über einen uninfizierten Rechner Kaspersky informieren: stopgpcode@kaspersky.com, in der Mail folgende Angaben machen:
• Datum und Zeit der Infektion
• Ausgeführte Programme in den fünf Minuten vor der Infektion
• besuchte Websites im gleichen Zeitraum.
Anhand dieser Daten versucht Kaspersky Lab, einer Lösung des Problems näher zu kommen, um schließlich Betroffenen helfen zu können.
Lösung
Am 16. Juni 2008 meldet Kaspersky: Das Unternehmen habe nun einen Weg gefunden, Dateien nach einer Gpcode-Attacke wiederherzustellen. “Das Problem der Wiederherstellung von Dateien auf einem ausgewählten Abschnitt der Festplatte wird von dem Tool PhotoRec problemlos gelöst.” PhotoRec wurde von Christophe Grenier entwickelt. ” Es ist auf der Basis einer GPL-Lizenz verfügbar und wird als Teil der neusten Version des Pakets TestDisk bereitgestellt.
Die Wiederherstellung des genauen Dateinamens und Pfades stellt allerdings einige Schwierigkeiten dar. Kaspersky Lab hat zur Lösung dieses Problems daher das kostenlose Programm StopGpcode entwickelt, das die Wiederherstellung der ursprünglichen Dateinamen und –Pfade ermöglicht.
Kaspersky Lab empfiehlt allen Opfern von Gpcode.ak, nicht auf die Lösegeldforderungen der Gpcode-Schreiber einzugehen, sondern stattdessen den Autor des hervorragenden Programms PhotoRec mit einer freiwilligen Spende zu bedenken.
Genaue Anweisungen zur manuellen Wiederherstellung von Dateien mit Hilfe der Tools PhotoRec und StopGpcode finden Sie in der Beschreibung von Gpcode.ak auf dem Informationsportal www.viruslist.de unter http://www.viruslist.com/de/viruses/encyclopedia?virusid=313444.”
“
0 Kommentare