Kaspersky: Fehlerhafte Ransomware lässt Entschlüsselung zu

Kaspersky weist in einem Blogbeitrag darauf hin, dass sich von der Ransomware Scraper verschlüsselte Dateien in etwa 70 Prozent aller Fälle entsperren lassen, ohne ein Lösegeld zu zahlen. Das liege an Programmierfehlern bei der Implementierung des Verschlüsselungsalgorithmus, heißt es.

Das im Oktober letzten Jahres zuerst gemeldete, auch als Torlocker bezeichnete Schadprogram trägt offiziell die Bezeichnung Trojan-Ransom.Win32.Scrape. Es verschlüsselt Dateien seines Opfers, darunter Dokumente, Videos, Fotos und Datenbanken. Für die Herausgabe des Schlüssels fordert es mindestens 300 Dollar Lösegeld, die per Bitcoin, UKash oder PaySafeCard gezahlt werden können.

Ziel waren zunächst japanische Nutzer. Kaspersky hat nun sowohl die japanische wie auch die englische Version des Programms analysiert. Beide nutzen das Tor-Netzwerk und einen Proxy-Server, um den Nutzer mit ihrer Lösegeldforderung zu konfrontieren. Verteilt wird die Schadsoftware über das Botnetz Andromeda.

Die Malware wird typischerweise erst von Antivirensoftware erkannt und entfernt, wenn sie bereits die Dateien verschlüsselt hat. Ist dies der Fall, installiert sie einen knallroten Bildschirmhintergrund, der auf die EXE-Datei verlinkt – Anwender können den Trojaner also bewusst wieder installieren und über sie die Kriminellen informieren, dass sie das Lösegeld bezahlt haben. Ist das der Fall, erhalten sie vom Kommandoserver einen RSA-Schlüssel, um ihre Dateien zu entschlüsseln.

Zugleich macht ein Countdown Zeitdruck: Angeblich wird der benötigte Schlüssel nach einer bestimmten Zeit endgültig gelöscht, falls keine Zahlung erfolgt ist.

Für die Verschlüsselung nutzt Scraper die Algorithmen AES-256 und RSA-2048. Seine Implementierung ist jedoch fehlerhaft. Kaspersky hat nun eine Utility namens ScraperDecryptor vorgelegt, der es in 70 Prozent aller Fälle gelingt, die Dateien auch ohne Schlüssel zu dechiffrieren. Außerdem entfernt sie alle Malware-Dateien vom System.

Ransomware ist ein immer häufiger von Kriminellen genutzter Weg, an das Geld unvorsichtiger Anwender zu kommen. Sie setzen dabei schon bei der Installation auf Ängste der Anwender: Oft gibt eine Phishing-Mail vor, von der Polizei zu stammen. Das Opfer habe illegal Inhalte heruntergeladen. Der vermeintlich von Behörden kommende Dateianhang enthält dann die Malware.

Im März war eine neue Variante der verbreiteten Ransomware Cryptolocker gesichtet worden, die auf Computerspieler abzielt: Sie verschlüsselt speziell die Daten von über 20 Spielen. TeslaCrypt – so der Name – wird nicht per Spam-E-Mail verteilt, sondern indem kompromittierte Websites Besucher mit einem Flash-Video auf das Exploit-Kit Angler umleiten.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de