Ransomware: Löschen statt entschlüsseln

Die defekte Ransomware Cryptonite kann Ihre Dateien nicht entschlüsseln, selbst wenn Sie das Lösegeld bezahlen. Stattdessen werden alle Daten einfach gelöscht.

Opfer einer kürzlich entdeckten Form von Ransomware werden gewarnt, das geforderte Lösegeld nicht zu zahlen, da die Ransomware nicht in der Lage ist, Dateien zu entschlüsseln – sie zerstört sie stattdessen einfach.

Die in Python kodierte Ransomware Cryptonite tauchte erstmals im Oktober als Teil eines frei herunterladbaren Open-Source-Toolkits auf. Jeder, der über die erforderlichen Fähigkeiten verfügt, kann sie bei Angriffen auf Microsoft Windows-Systeme einsetzen, wobei Phishing-Angriffe vermutlich die häufigste Form der Verbreitung sind.

Eine Analyse von Cryptonite durch die Cybersecurity-Forscher von Fortinet hat jedoch ergeben, dass die Ransomware nur über einfache Funktionen verfügt und keine Möglichkeit bietet, Dateien zu entschlüsseln, selbst wenn ein Lösegeld gezahlt wird.

Stattdessen fungiert Cryptonite als Wiper-Malware, die die verschlüsselten Dateien zerstört und keine Möglichkeit bietet, die Daten wiederherzustellen. Die Forscher vermuten jedoch, dass Cryptonite nicht absichtlich böswillig zerstört, sondern weil die Ransomware schlecht programmiert wurde.

Ein einfaches Design und ein Mangel an Qualitätssicherung“ bedeuten, dass die Ransomware nicht korrekt funktioniert, da ein Fehler in der Art und Weise, wie sie zusammengesetzt wurde, bedeutet, dass es keine Möglichkeit gibt, verschlüsselte Dateien wiederherzustellen, wenn Cryptonite abstürzt oder einfach geschlossen wird.

Es gibt auch keine Möglichkeit, das Programm im reinen Entschlüsselungsmodus auszuführen – jedes Mal, wenn die Ransomware ausgeführt wird, verschlüsselt sie also alles mit einem anderen Schlüssel neu. Das heißt, selbst wenn es eine Möglichkeit gäbe, die Dateien wiederherzustellen, würde der eindeutige Schlüssel wahrscheinlich nicht funktionieren, so dass es keine Möglichkeit gibt, die verschlüsselten Daten wiederherzustellen.

„Dieses Beispiel zeigt, wie die schwache Architektur und Programmierung einer Ransomware diese schnell in einen Wischer verwandeln kann, der keine Datenwiederherstellung zulässt“, sagt Gergely Révay, Sicherheitsforscher bei Fortinets FortiGuard Labs.

„Obwohl wir uns oft über die zunehmende Raffinesse von Ransomware-Samples beschweren, können wir auch feststellen, dass zu einfache Programmierungen und mangelnde Qualitätssicherung ebenfalls zu erheblichen Problemen führen können“, fügte er hinzu.

Das Opfer eines Ransomware-Angriffs bekommt diese Probleme zu spüren, da es keine Möglichkeit hat, sein Netzwerk wiederherzustellen – selbst wenn es ein Lösegeld gezahlt hat.

Der Fall der Ransomware Cryptonite erinnert auch daran, dass die Zahlung eines Lösegelds nie eine Garantie dafür ist, dass die Cyberkriminellen einen Entschlüsselungsschlüssel zur Verfügung stellen oder dass er richtig funktioniert.

Cyber-Agenturen wie CISA, FBI und NCSC raten davon ab, Lösegeld zu zahlen, da dies die Cyber-Kriminellen nur ermutigt und fördert, insbesondere wenn sie die Ransomware zu geringen Kosten oder kostenlos erwerben können.

Die halbwegs gute Nachricht ist, dass es für Möchtegern-Cyberkriminelle nun schwieriger ist, Cryptonite in die Finger zu bekommen, da der ursprüngliche Quellcode von GitHub entfernt worden ist.

Themenseiten: Fortinet, Ransomware

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Ransomware: Löschen statt entschlüsseln

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *