Weitere Entschlüsselungs-Tools für Ransomware veröffentlicht

Diese Woche haben gleich drei IT-Security-Anbieter neue Entschlüsselungs-Tools für Opfer von Ransomware bereitgestellt. Zwar ist das angesichts der rasch zunehmenden Anzahl an Erpressersoftware insgesamt gesehen nur ein kleiner Beitrag, für die jeweils Betroffenen jedoch ausgesprochen hilfreich. Außerdem unterstützt es die Argumentation, dass Opfer bei Ransomware-Attacken nicht zahlen sollten, um das Geschäftsmodell der Kriminellen nicht mitzufinanzieren.

ESET bietet einen kostenlosen Decryptor an, mit dem von Crysis-Ransomware befallene Dateien oder Geräte entschlüsselt werden können. Der Decryptor für Crysis-Ransomware steht kostenlos zum Download bereit und basiert auf den Master Decryption Keys, die kürzlich bei BleepingComputer.com veröffentlicht wurden. Mit dem Dechiffrier-Tool wird die Handhabung für weniger versierte Nutzer deutlich vereinfacht. Weitere Informationen sowie Anleitungen zum Einsatz des Tools finden sich in der englischsprachigen ESET-Knowledgebase.

Die Crysis genannte Malware-Familie geriet in die Schlagzeilen, als die Hintermänner der Ransomware TeslaCrypt (für die es ebenfalls Entschlüsselungs-Tools gibt) in diesem Jahr die Aktivitäten damit einstellten. Allerdings wurde mit CryptXXX bereits ein Nachfolger ausgemacht.

Für die dagegen erst kürzlich entdeckte Ransomware TeleCrypt, die für die Kommunikation mit dem Kontrollserver eine API des als sicher geltenden Messengers Telegram nutzt, hat Malwarebytes ein Entschlüsselungs-Tool entwickelt. Auch der „TeleCrypt Decryptor“ steht kostenlos zum Download bereit. Laut Malwarebytes können damit Telegram-Nutzer, die der Ransomware zum Opfer gefallen sind, ihre Daten wieder herstellen, ohne Lösegeld zu zahlen.

Emsisoft hat einen kostenlosen Decryptor für die OzozaLocker genannte Ransomware bereitgestellt. Die versieht verschlüsselte Dateien mit der Dateiendung *.locked und platziert auf dem Desktop eine Datei mit dem Titel „HOW TO DECRYPT YOU FILES.txt“ an. Beim Doppelklick auf eine der verschlüsselten Dateien wird zudem eine Nachrichten-Box angezeigt, in der gefordert wird, sich an santa_helper@protonmail.com zu wenden, um Informationen zu den Zahlungsbedingungen zu bekommen. Das ist nun jedoch nicht mehr notwendig – sofern dem Opfer sowohl eine verschlüsselte als auch eine unverschlüsselte Version einer Datei mit einer Größe von mindestens 510 Byte zur Verfügung stehen. Das wiederum belegt die Notwendigkeit von – wenigstens von Zeit zu Zeit – angelegten Backups.

Für eine Variante der Ransomware Stampado, die sich seit kurzem dem Security-Anbieter Zscaler zufolge aus Sicht der Kriminellen dank wurmartiger Funktionen „effektiver“ verbreitet und die auch Netzlaufwerke und externe Speichermedien verschlüsseln kann, lässt sich offenbar ein ebenfalls von Emsisoft schon seit Juli angebotenes Entschlüsselungs-Tool verwenden. Der Emsisioft Decryptor for Stampado wurde bereits über 11.500 Mal heruntergeladen.

Die nun verfügbaren Tools sind selbstverständlich als Beitrag zum Kampf gegen Ransomware und die dahinterstehenden Kriminelle zu begrüßen. Allerdings sollten Opfer, selbst wenn sie dadurch Hilfe bekommen, den Vorfall dennoch zur Anzeige bringen. Denn die Strafverfolgungsbehörden können nur einschreiten, wenn sie über die Fälle informiert sind.

Dass sie daran durchaus ein Interesse haben, zeigt der Beitritt zahlreicher Polizeibehörden europäischer Länder zum Projekt NoMoreRansom.org. Das wurde im Juli zunächst von der niederländischen Polizei, Kaspersky und Intel Security gegründet. Ziel ist es, Informationen über Ransomware auszutauschen, Verbraucher und Verantwortliche in Firmen über das Problem aufzuklären und möglichst viele Schlüssel zur Entschlüsselung zentral bereitzustellen.