Entschlüsselungs-Tool für Ransomware LambdaLocker verfügbar

von Peter Marwan am , 17:50 Uhr

Es wurde von Avast entwickelt und steht über das Projekt „No more Ransom“ kostenlos zur Verfügung. LambdaLocker trat erstmal im Januar auf nutzt eine Kombination aus AES-256 und SHA-256 und fügt die Dateiendung .lambda_l0cked hinzu.

Opfern der Ransomware „LambdaLocker“ steht ab sofort ein kostenloses Entschlüsselungs-Tool zur Verfügung. Es wurde von Experten beim IT-Sicherheitsanbieter Avast entwickelt und wird im Rahmen des Projektes No More Ransom angeboten [1]. Dabei handelt es sich um eine vor rund einem Jahr ins Leben gerufene Kooperation mehrerer europäischer Polizeibehörden und zahlreicher IT-Sicherheitsanbieter.

Ransomware (Bild: Shutterstock) [2]

Ziel von „No More Ransom“ ist es, von Ransomware Betroffenen die Möglichkeit zu geben, ihre Dateien wieder zurückzubekommen, ohne die geforderten Lösegelder zahlen zu müssen. Dadurch soll der Geldfluss an die Kriminellen unterbunden und so der Anreiz reduziert werden, weitere Erpressersoftware in Umlauf zu bringen.

LambdaLocker tauchte das erste Mal im Januar auf. Die Malware nutzt zur Verschlüsselung eine Kombination aus AES-256 und SHA-256. Dadurch macht sie den Zugriff auf die Dateien unmöglich. Mit LambdaLocker verschlüsselte Dateien sind an der Dateiendung .lambda_l0cked zu erkennen. Die Hintermänner fordern in der Regel 0,5 Bitcoin, was derzeit etwas über 2000 Dollar entspricht.

Ein Fehler im aktuellsten Build der Ransomware habe es Sicherheitsforschern von Avast nun jedoch ermöglicht, den Verschlüsselungsmechanismus zu knacken, erklärt Ladislav Zezula, Malware Researcher bei Avast, gegenüber ZDNet.com [3]. Laut Avast-Experte Zezula funktioniert das Entschlüsselungs-Tool deshalb auch nur bei neueren Varianten der Ransomware.

HIGHLIGHT

Studie: Ransomware-Angriffe für KMU besonders gefährlich [4]

Kleine und mittlere Unternehmen leiden vor allem unter den Ausfallzeiten. Das geforderte Lösegeld spielt eine geringere Rolle und wird auch meistens nicht gezahlt. 34 Prozent der deutschen KMU wurden innerhalb eines Jahres Opfer von Ransomware.

Wie so oft wird auch LambdaLocker über Spam-Mails verbreitet. Allerdings sind auch Installer von Spielen und durch Downloads von gehackten oder per se gefährlichen Websites sowie über Peer-to-Peer-Netzwerke bekannt. Ihre Forderung präsentieren die LambdaLocker-Erpresser in Englisch und Chinesisch. Außerdem drohen sie, dass Opfer ihre Dateien für immer verlieren, wenn sie nicht binnen eines Monats bezahlen.

Initiative „No More Ransom“ seit einem Jahr erfolgreich tätig

„No More Ransom“ ist im Juli 2016 aus einer Kooperation von Europol, der niederländischen Polizei und den Herstellern Intel [5] Security (inzwischen McAfee) und Kaspersky Lab heraus entstanden [6]. Inzwischen haben sich zahlreiche weitere Polizeibehörden und auch Security-Firmen angeschlossen [7]. Ziel ist es, die sonst an vielen Stellen [8] veröffentlichten Entschlüsselungs-Tools für Ransomware an einer Stelle zentral gesammelt vorzuhalten und Opfern eine Anlaufstelle zu bieten.

Inzwischen stehen Dechiffrier-Werkzeuge für über 100 Malware-Familien zur Verfügung. Außerdem geben die Betreiber Tipps zur Prävention und wird ein „Crypto Sheriff“ angeboten. Mit dem Online-Tool können Nutzer ermitteln, von welcher Ransomware sie befallen sind. Nach Angaben der Betreiber wurden dank No More Ransom [9] schon deutlich über 28.000 erfolgreiche Entschlüsselungsvorgänge durchgeführt, was die Zahlung von mehreren Millionen Euro an Kriminelle verhindert habe.

Artikel von ZDNet.de: http://www.zdnet.de

URL zum Artikel: http://www.zdnet.de/88308331/entschluesselungs-tool-fuer-ransomware-lambdalocker-verfuegbar/

URLs in this post:

[1] angeboten: https://www.nomoreransom.org/en/decryption-tools.html#LambdaLocker

[2] Image: http://www.zdnet.de/wp-content/uploads/2016/11/ransomeware-shutterstock-carlos-amarillo-800.jpg

[3] gegenüber ZDNet.com: http://www.zdnet.com/article/lambdalocker-ransomware-victim-now-you-can-decrypt-your-files-for-free/

[4] Studie: Ransomware-Angriffe für KMU besonders gefährlich: http://www.zdnet.de/88306065/studie-ransomware-angriffe-fuer-kmu-besonders-gefaehrlich/

[5] Intel: http://www.zdnet.de/unternehmen/intel/

[6] entstanden: http://www.zdnet.de/88275375/no-more-ransom-initiative-schaltet-website-frei/

[7] angeschlossen: http://www.zdnet.de/88281034/nomoreransom-org-13-weitere-strafverfolgungsbehoerden-beteiligen-sich-an-der-initiative/

[8] vielen Stellen: http://www.zdnet.de/88283395/weitere-entschluesselungs-tools-fuer-ransomware-veroeffentlicht/

[9] No More Ransom: https://www.nomoreransom.org/en/