Der Erpressungs-Trojaner Bitcrypt verschlüsselt Dateien des Anwenders und rückt die Daten nur gegen Zahlung von Lösegeld wieder raus. Sicherheitsexperten gelang es jedoch, die Verschlüsselung zu knacken.

Rund 260 Euro sollten die Opfer an die Gauner überweisen, um ihre Daten wieder zu bekommen. Die hatte der Erpressungs-Trojaner Bitcrypt zuvor verschlüsselt; das zugehörige Entschlüsselungsprogramm der Autoren sollte der einzige Weg sein, die Daten wieder zu dechiffrieren.

Doch Fabien Perigaud und Cedric Pernet machten sich stattdessen daran, den Erpressungs-Trojaner zu analysieren und stellten tatsächlich fest, dass den Gaunern ein fataler Fehler unterlaufen war. Statt eines RSA-Schlüssels mit 128 Bytes – was 1024 Bit entspräche – haben sie einen mit 128 Stellen erzeugt. Letztlich bedeutete dies, dass die Forscher statt der angedrohten 1024-Bit-Verschlüsselung nur RSA mit 426 Bits knacken mussten. Und das gelang ihnen in 43 Stunden.

Mit dem geheimen RSA-Schlüssel lassen sich die jeweils verwendeten File-Encryption-Keys dekodieren und damit dann schließlich auch die Original-Dateien wiederherstellen.

Sollten Sie Beratungsbedarf zu Antiviren- und Firewall-Lösungen haben oder die Einführung einer entsprechenden Lösung planen, steht Ihnen kzm, Ihr Experte für Software und Systeme, bei der Planung und Umsetzung gerne zur Verfügung.