Ransomware Entschlüsselung: Entschlüsselungstools bei Verschlüsselungstrojanern
Ransomware gehört zu den gefährlichsten Bedrohungen derzeit: Die Verschlüsselungstrojaner verschlüsseln Daten und zur Entschlüsselung wird von den Cyberkriminellen oft ein hohes Lösegeld gefordert. Ob die Daten dann wirklich entschlüsselt werden, steht in den Sternen. Um dem etwas entgegensetzen zu können, entwickeln Sicherheitsanbietende Tools zur Ransomware-Entschlüsselung. Diese Entschlüsselungstools schauen wir uns heute an und geben Ihnen einen Überblick über die gängigsten Tools zur Ransomware Entschlüsselung.
Ransomware Entschlüsselung: Immer mehr Tools im Umlauf
Seit die Lösegelderpressung durch Cyberkriminelle immer weiter um sich greift, haben Sicherheitsanbietende Tools zur Ransomware-Entschlüsselung entwickelt. Leider gibt es nicht das eine Tool, mit dem sich sämtliche Daten unabhängig von der verschlüsselnden Ransomware-Familie wiederherstellen lassen. Doch wenn Sie wissen, mit welchem Verschlüsselungstrojaner Sie angegriffen wurden, können Sie Ihre verschlüsselten Daten mithilfe der Decryption-Tools womöglich wiederherstellen. Im Folgenden finden Sie eine Auswahl an Tools zur Ransomware-Entschlüsselung:
Bitdefender-Tool für REvil Ransomware
Die Ransomware-Gang REvil beschäftigte die IT-Welt schon einige Jahre, bevor sie geschnappt wurde; wir berichteten. Die Cyberkriminellen widmen sich mittlerweile wahrscheinlich anderem, denn mit dem 13. Juli 2021 waren weder Infrastruktur noch Website der Cybergang erreichbar. Selbst zahlungswillige REvil-Opfer konnten ihre Daten nicht wiederherstellen. Die Zahl der Opfer war riesig – REvil vermietete ihr zwielichtiges Produkt mittels Ransomware-as-a-Service (RaaS) an andere Cyberkriminelle.
Damit Opfer der REvil-Ransomware ihre Daten entschlüsseln können, stellte der Sicherheitsanbieter Bitdefender im September 2021 ein kostenfreies Entschlüsselungstool bereit. REvil-Opfer, deren Daten vor dem 13. Juli 2021 verschlüsselt wurden, können mithilfe des Entschlüsselungstools ihre Daten wiederherstellen.
Avast Decryption Tools gegen AtomSilo, Babuk und LockFile
Der Sicherheitsanbieter Avast unterstützt die Opfer der Verschlüsselungstrojaner AtomSilo, Babuk sowie LockFile. Einem Blogbeitrag zufolge sind sich die Ransomware-Familien LockFile und AtomSilo so ähnlich, dass das Tool zur Ransomware-Entschlüsselung in beiden Fällen helfen soll. Die Sicherheitsforschenden von Avast geben jedoch zu bedenken, dass dieses Tool Dateien nur dann entschlüsselt, wenn sie ein bekanntes Dateiformat besitzen. Dateien mit unbekannten oder proprietären Formaten bzw. ohne Dateiformat lassen sich mit dem Tool zur Ransomware-Entschlüsselung nicht wiederherstellen. Opfer, die mit der LockFile-Ransomware zu kämpfen haben, müssen mit weiteren Einschränkungen leben: Verschlüsselte .jpg- sowie .bmp-Dateien lassen sich nicht entschlüsseln.
Babuk – eine Ransomware, die seit Anfang 2021 verbreitet wird – hat es vorrangig auf Unternehmen abgesehen. Auch für diesen Verschlüsselungstrojaner stellt Avast ein Tool bereit.
Emsisofts Tool für Ransomware-Entschlüsselung
Den Sicherheitsforschenden von Emsisoft gelang die Entwicklung einer Entschlüsselungsfunktion für einige Varianten der BlackMatter-Ransomware. Opfern wurde in einem Blogbeitrag angeboten, sich direkt an die Forschenden zu wenden, um Unterstützung beim Wiederherstellen ihrer Daten zu bekommen. Das Emsisoft-Tool für die Ransomware-Entschlüsselung basiert auf einem Bug in den Verschlüsselungsroutinen des Trojaners. Leider ist dieser den Cyberkriminellen hinter BlackMatter ebenfalls aufgefallen, sodass diese den Fehler behoben haben und das Entschlüsselungstool nur bei der fehlerhaften Version wirksam werden kann.
BlackMatter ist – ebenfalls als RaaS-Modell – weiterhin aktiv. Als potenzielle Opfer werden vorrangig große Unternehmen ins Visier genommen. Bei BlackMatter könnte es sich um einen direkten Nachfolger von DarkSide handeln; diese Ransomware war im Mai 2021 für den Ausfall der Colonial Pipeline in den USA verantwortlich.
AVG-Tool zur Ransomware-Entschlüsselung
Auch aus dem Hause AVG kommen einige Tools zur Ransomware-Entschlüsselung. Wieder sollten Sie wissen, welche Ransomware Ihre Daten verschlüsselt hat. Konkret bietet AVG Entschlüsselungstools für die folgenden Verschlüsselungstrojaner:
- Apocalypse: Diese Ransomware-Variante existiert seit Juni 2016.
- BadBlock: Im Mai 2016 wurde diese Ransomware-Variante erstmals gesichtet.
- Bart: Ende Juni 2016 erstmals gesichtet, werden Daten in verschlüsselte ZIP-Archive gewandelt, die die ursprünglichen Dateien enthalten.
- Crypt888: Diese Ransomware-Variante ist auch als Mircop bekannt und tauchte erstmals im Juni 2016 auf.
- Legion: Auch Legion wurde im Juni 2016 erstmals gesichtet. Nach der Datenverschlüsselung wird der Desktophintergrund geändert.
- SZFLocker: Im Mai 2016 wurde diese Ransomware-Variante zum ersten Mal gesichtet. Eine polnische Meldung erscheint, wenn Opfer versuchen, verschlüsselte Dateien zu öffnen.
- TeslaCrypt: Seit Februar 2015 treibt die Ransomware TeslaCrypt ihr Unwesen. Dateien werden in der neusten Version des Trojaners nicht umbenannt, Opfer sehen jedoch eine Fehlermeldung.
Trustwave nutzt Schwächen im Schadcode
Beliebige Dateien, die mit der BlackByte-Ransomware verschlüsselt wurden, lassen sich mit dem Tool des SpiderLabs-Teams von Trustwave entschlüsseln. Dafür haben die Forschenden Schwächen im Schadcode gefunden und diese im Sinne der BlackByte-Opfer ausgenutzt. Da die BlackByte-Gang nicht so findig arbeitete wie beispielsweise die Konkurrenz von REvil, war es gar nicht so schwer, Schwächen zu finden: Der Schadcode besitzt keine Funktion zum Exfiltrieren von Daten, sodass angedrohte Veröffentlichungen von Informationen nur heiße Luft waren. Haben Sie Interesse an technischen Details zu BlackByte, können Sie Teil 1 und Teil 2 der Analyse von Trustwave lesen. Bei GitHub gibt es den BlackByte-Decryptor.
Kasperskys Tools zur Ransomware-Entschlüsselung
Kaspersky hält es ähnlich wie AVG: Sie finden auf der Website von Kaspersky verschiedene Decryptor für unterschiedliche Ransomware-Arten. Konkret kann Sie Kaspersky beim Entschlüsseln Ihrer Dateien unterstützen, wenn Ihre Systeme von einer der folgenden Ransomware-Familien befallen wurden:
- Shade
- Rakhni: Mit dem Rakhni-Decryptor entschlüsseln Sie auch Dateien, die durch Agent.iih, Autoit, Aura, Pletor, Lamer, Rotor, Cryptokluchen, Democry, Lortok, TeslaCrypt (Versionen 3 und 4), Bitman, Chimera, Crysis (Versionen 2 und 3), Cryakl, Dharma, Yatron, Fonix, FortuneCrypt, Sekhmet, Maze und Egregor verschlüsselt wurden.
- Rannoh: Entschlüsselt auch Dateien, die durch Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Cryptokluchen, Lortok, Democry, Bitman, TeslaCrypt (Versionen 3 und 4), Chimera, Crysis (Versionen 2 und 3) und Dharma verschlüsselt wurden.
- CoinVault: Entschlüsselt auch Dateien, die durch Bitcryptor verschlüsselt wurden. Dieser Decryptor entstand in Zusammenarbeit mit „The National High Tech Crime Unit“ (NHTCU), der niederländischen Polizei und der niederländischen National-Staatsanwaltschaft.
- Wildfire
- Xorist and Vandev
ESET mit verschiedenen Decryptors
Auch ESET fokussiert sich nicht nur auf eine Ransomware-Familie, sondern möchte möglichst breitflächig unterstützen. Dafür werden auf der ESET-Website Decryptor für u. a. Crysis, Mabezat.A, Simplocker oder TeslaCrypt kostenfrei zur Verfügung gestellt.
Ransomware Entschlüsselung: kostenfreie Entschlüsselungstools
Ransomware existiert bereits seit einigen Jahren – und wird uns wohl noch viele Jahre als ernst zu nehmende Gefahr begleiten. Doch den Machenschaften der Cyberkriminellen kann endlich etwas entgegengesetzt werden: Viele Sicherheitsforschende stellen Tools für die Ransomware-Entschlüsselung bereit. Neben den eben vorgestellten Tools gibt es auch Websites, die alle verfügbaren Tools bündeln: Auf bleib-virenfrei.de finden Sie eine Tabelle mit Ransomware-Familien und entsprechenden Entschlüsselungstools. Die Macher:innen von NoMoreRansom.org unterstützen ebenfalls dabei, verschlüsselte Dateien wieder zu entschlüsseln. Es lohnt sich, beim Thema Ransomware auf dem Laufenden zu bleiben – so kennen Sie mögliche Bedrohungen und können im Fall der Fälle reagieren. Dafür empfehlen wir Ihnen insbesondere die Website des Bundesamts für Sicherheit in der Informationstechnik (BSI), auf der Neuerungen zügig publiziert werden.
Schreibe einen Kommentar