Weitere Entschlüsselungs-Tools für Ransomware veröffentlicht

Ransomware (Bild: Shutterstock)

Malwarebytes bietet eines für die Erpressersoftware TeleCrypt an. ESET hat eines für die von ihm als Win32/Filecoder.Crysis bezeichnete Ransomware aus der Crysis-Familie bereitgestellt. Und Emsisoft bietet kostenlos Hilfe für Opfer von OzozaLocker an.

Diese Woche haben gleich drei IT-Security-Anbieter neue Entschlüsselungs-Tools für Opfer von Ransomware bereitgestellt. Zwar ist das angesichts der rasch zunehmenden Anzahl an Erpressersoftware insgesamt gesehen nur ein kleiner Beitrag, für die jeweils Betroffenen jedoch ausgesprochen hilfreich. Außerdem unterstützt es die Argumentation, dass Opfer bei Ransomware-Attacken nicht zahlen sollten, um das Geschäftsmodell der Kriminellen nicht mitzufinanzieren.

ESET bietet einen kostenlosen Decryptor an, mit dem von Crysis-Ransomware befallene Dateien oder Geräte entschlüsselt werden können. Der Decryptor für Crysis-Ransomware steht kostenlos zum Download bereit und basiert auf den Master Decryption Keys, die kürzlich bei BleepingComputer.com veröffentlicht wurden. Mit dem Dechiffrier-Tool wird die Handhabung für weniger versierte Nutzer deutlich vereinfacht. Weitere Informationen sowie Anleitungen zum Einsatz des Tools finden sich in der englischsprachigen ESET-Knowledgebase.

Die Crysis genannte Malware-Familie geriet in die Schlagzeilen, als die Hintermänner der Ransomware TeslaCrypt (für die es ebenfalls Entschlüsselungs-Tools gibt) in diesem Jahr die Aktivitäten damit einstellten. Allerdings wurde mit CryptXXX bereits ein Nachfolger ausgemacht.

Der von Malwareybytes jetzt zur Verfügung gestellte "TeleCryptz Decryptor" (Screenshot: Malwartebytes)
Der von Malwareybytes jetzt zur Verfügung gestellte “TeleCryptz Decryptor” (Screenshot: Malwartebytes)

Für die dagegen erst kürzlich entdeckte Ransomware TeleCrypt, die für die Kommunikation mit dem Kontrollserver eine API des als sicher geltenden Messengers Telegram nutzt, hat Malwarebytes ein Entschlüsselungs-Tool entwickelt. Auch der “TeleCrypt Decryptor” steht kostenlos zum Download bereit. Laut Malwarebytes können damit Telegram-Nutzer, die der Ransomware zum Opfer gefallen sind, ihre Daten wieder herstellen, ohne Lösegeld zu zahlen.

Emsisoft hat einen kostenlosen Decryptor für die OzozaLocker genannte Ransomware bereitgestellt. Die versieht verschlüsselte Dateien mit der Dateiendung *.locked und platziert auf dem Desktop eine Datei mit dem Titel “HOW TO DECRYPT YOU FILES.txt” an. Beim Doppelklick auf eine der verschlüsselten Dateien wird zudem eine Nachrichten-Box angezeigt, in der gefordert wird, sich an santa_helper@protonmail.com zu wenden, um Informationen zu den Zahlungsbedingungen zu bekommen. Das ist nun jedoch nicht mehr notwendig – sofern dem Opfer sowohl eine verschlüsselte als auch eine unverschlüsselte Version einer Datei mit einer Größe von mindestens 510 Byte zur Verfügung stehen. Das wiederum belegt die Notwendigkeit von – wenigstens von Zeit zu Zeit – angelegten Backups.

Für eine Variante der Ransomware Stampado, die sich seit kurzem dem Security-Anbieter Zscaler zufolge aus Sicht der Kriminellen dank Wurm-artiger Funktionen “effektiver” verbreitet und die auch Netzlaufwerke und externe Speichermedien verschlüsseln kann, lässt sich offenbar ein ebenfalls von Emsisoft schon seit Juli angebotenes Entschlüsselungs-Tool verwenden. Der Emsisioft Decryptor for Stampado wurde bereits über 11.500 Mal heruntergeladen.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Die nun verfügbaren Tools sind selbstverständlich als Beitrag zum Kampf gegen Ransomware und die dahinterstehenden Kriminelle zu begrüßen. Allerdings sollten Opfer, selbst wenn sie dadurch Hilfe bekommen, den Vorfall dennoch zur Anzeige bringen. Denn die Strafverfolgungsbehörden können nur einschreiten, wenn sie über die Fälle informiert sind.

Dass sie daran durchaus ein Interesse haben, zeigt der Beitritt zahlreicher Polizeibehörden europäischer Länder zum Projekt NoMoreRansom.org. Das wurde im Juli zunächst von der niederländischen Polizei, Kaspersky und Intel Security gegründet. Ziel ist es, Informationen über Ransomware auszutauschen, Verbraucher und Verantwortliche in Firmen über das Problem aufzuklären und möglichst viele Schlüssel zur Entschlüsselung zentral bereitzustellen.