Ransomware: Löschen statt entschlüsseln

Opfer einer kürzlich entdeckten Form von Ransomware werden gewarnt, das geforderte Lösegeld nicht zu zahlen, da die Ransomware nicht in der Lage ist, Dateien zu entschlüsseln – sie zerstört sie stattdessen einfach.

Die in Python kodierte Ransomware Cryptonite tauchte erstmals im Oktober als Teil eines frei herunterladbaren Open-Source-Toolkits auf. Jeder, der über die erforderlichen Fähigkeiten verfügt, kann sie bei Angriffen auf Microsoft Windows-Systeme einsetzen, wobei Phishing-Angriffe vermutlich die häufigste Form der Verbreitung sind.

Eine Analyse von Cryptonite durch die Cybersecurity-Forscher von Fortinet hat jedoch ergeben, dass die Ransomware nur über einfache Funktionen verfügt und keine Möglichkeit bietet, Dateien zu entschlüsseln, selbst wenn ein Lösegeld gezahlt wird.

Stattdessen fungiert Cryptonite als Wiper-Malware, die die verschlüsselten Dateien zerstört und keine Möglichkeit bietet, die Daten wiederherzustellen. Die Forscher vermuten jedoch, dass Cryptonite nicht absichtlich böswillig zerstört, sondern weil die Ransomware schlecht programmiert wurde.

Ein einfaches Design und ein Mangel an Qualitätssicherung“ bedeuten, dass die Ransomware nicht korrekt funktioniert, da ein Fehler in der Art und Weise, wie sie zusammengesetzt wurde, bedeutet, dass es keine Möglichkeit gibt, verschlüsselte Dateien wiederherzustellen, wenn Cryptonite abstürzt oder einfach geschlossen wird.

Es gibt auch keine Möglichkeit, das Programm im reinen Entschlüsselungsmodus auszuführen – jedes Mal, wenn die Ransomware ausgeführt wird, verschlüsselt sie also alles mit einem anderen Schlüssel neu. Das heißt, selbst wenn es eine Möglichkeit gäbe, die Dateien wiederherzustellen, würde der eindeutige Schlüssel wahrscheinlich nicht funktionieren, so dass es keine Möglichkeit gibt, die verschlüsselten Daten wiederherzustellen.

„Dieses Beispiel zeigt, wie die schwache Architektur und Programmierung einer Ransomware diese schnell in einen Wischer verwandeln kann, der keine Datenwiederherstellung zulässt“, sagt Gergely Révay, Sicherheitsforscher bei Fortinets FortiGuard Labs.

„Obwohl wir uns oft über die zunehmende Raffinesse von Ransomware-Samples beschweren, können wir auch feststellen, dass zu einfache Programmierungen und mangelnde Qualitätssicherung ebenfalls zu erheblichen Problemen führen können“, fügte er hinzu.

Das Opfer eines Ransomware-Angriffs bekommt diese Probleme zu spüren, da es keine Möglichkeit hat, sein Netzwerk wiederherzustellen – selbst wenn es ein Lösegeld gezahlt hat.

Der Fall der Ransomware Cryptonite erinnert auch daran, dass die Zahlung eines Lösegelds nie eine Garantie dafür ist, dass die Cyberkriminellen einen Entschlüsselungsschlüssel zur Verfügung stellen oder dass er richtig funktioniert.

Cyber-Agenturen wie CISA, FBI und NCSC raten davon ab, Lösegeld zu zahlen, da dies die Cyber-Kriminellen nur ermutigt und fördert, insbesondere wenn sie die Ransomware zu geringen Kosten oder kostenlos erwerben können.

Die halbwegs gute Nachricht ist, dass es für Möchtegern-Cyberkriminelle nun schwieriger ist, Cryptonite in die Finger zu bekommen, da der ursprüngliche Quellcode von GitHub entfernt worden ist.

ZDNet.de Redaktion

Recent Posts

So optimiert Preisüberwachung Ihre Gewinnmargen im Online-Handel

Die Transparenz der Preise ist im Online-Handel zu einer unangenehmen Herausforderung geworden. Mit nur wenigen…

2 Stunden ago

T-Systems launcht AI Foundation Services

Services stellen private und sichere Entwicklungs-, Test- und Produktionsumgebung bereit, die strengste Anforderungen an Datensicherheit…

3 Stunden ago

Februar-Patchday: Microsoft schließt Zero-Day-Lücken in Windows

Mindestens zwei Anfälligkeiten werden bereits aktiv angegriffen. Betroffen sind alle unterstützten Versionen von Windows und…

5 Stunden ago

Apple schließt Zero-Day-Lücke in iOS und iPadOS

Betroffen sind alle unterstützten iPhones und iPads sowie ältere Modelle. Apple bezeichnet die Angriffe als…

20 Stunden ago

Umfrage: Datensicherheit mit Geschäftszielen nur schwer vereinbar

Nur 14 Prozent der SRM-Führungskräfte erreichen einen wirkungsvollen Schutz und ermöglichen dabei eine Datennutzung zur…

22 Stunden ago

Facebook-Phishing-Kampagne zielt auf Unternehmen ab

Die Phishing-Nachrichten verteilen die Cyberkriminellen über eine Marketing-Tool von Salesforce. Unternehmen werden darin Urheberrechtsverletzungen auf…

24 Stunden ago