20. Juli 2007

Erpresserviren

Category: Hacking — Christian @ 01:42

Langsam bin ich ja schon enttäuscht. Da gibt es einen neuen Virus, der versucht die Leute zu erpressen (neudeutsch Ransomware) :

    Hello, your files are encrypted with RSA-4096 algorithm (http://en.wikipedia.org/wiki/RSA).
    You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us.
    To decrypt your files you need to buy our software. The price is $300.

Und wenn wir berücksichtigen, dass die meisten Privatleute (und erschreckend viele Firmen) keine Backups haben, ist das eine realistische Drohung. Nur: das ist schlicht gelogen. Der Trojaner scheint eine leicht modifizierte RC4-Routine zu verwenden. Das ist jedoch im Gegensatz zu RSA ein symmetrisches Verfahren und der Schlüssel zum Verschlüsseln ist der gleiche wie zum Entschlüsseln. Wenn der Virus die Daten verschlüsselt kann folglich aus dem Virus auch der Schlüssel zur Dechiffrierung extrahiert werden. Die cleveren Jungs von Kaspersky haben das herausgefunden und ein kostenfreies Tool zum Entschlüsseln veröffentlicht. Das wären dann 300 USD gespart. Nett von Kaspersky.

Bootnote (Begriff von The Register geklaut):

Wenn ich der Virenautor wäre, würde ich jetzt Kaspersky wegen wettbewerbsfeindlichem Verhalten verklagen. Die machen einfach das Geschäftsmodell kaputt. Und außerdem ist das garantiert ein Verstoß gegen den DMCA, der so Reverse-Engineering zur Umgehung von Sicherungsmaßnahmen (und das ist die Verschlüsselung ja wohl) eindeutig verbietet.

Wollte nicht auch mal Cult of the Dead Cow Symantec verklagen, weil die Back Orifice 2000 in Norton Antivirus als Schadprogramm erkannt haben? Dabei ist das doch ein normales Remote-Admin Tool, vergleichbar mit PCAnywhere und Symantec will nur die Wettbewerber ausschalten … ich finde aber keine Quelle mehr dazu.