Ransomware Crysis entschlüsselt

SicherheitSicherheitsmanagement

200 Master-Keys erlauben eine vollständige Entsperrung von Rechnern. Sicherheitsanbieter Eset hat bereits ein entsprechendes Tool entwickelt.

Für die Ransomware Crysis liegen nun 200 Master-Keys bereit. Mit Hilfe dieser auf Pastebin veröffentlichten Schlüssel lassen sich Dateien retten, die von der Erpressersoftware verschlüsselt wurden. Anwender brauchen dann den Lösegeldforderungen nicht nachkommen. Auch die Entwicklung von Entschlüsselungstools sind mit diesen Schlüsseln möglich. Mit diesen Tools, wie sie etwa von dem der Sicherheitsanbieter Eset vorliegen wird die Entsperrung für den Anwernder vereinfacht.

Laut Eset soll es sich um die dritte Veröffentlichung des Generalschlüssel-Satzes für Crysis-Varianten. Die aktuelle Veröffentlichung aber unterscheidet sich von älteren Master-Keys. Denn diese neuen Schlüssel sind auch in der Lage, Dateien mit den Endungen .wallett und .onion zu entsperren.

Die Ransomware Jigsaw setzt dem Opfer die virtuelle Pistole auf die Brust und gewährt nur wenig Zeit, um den Forderungen nachzukommen. (Bild: IBM X-Force)
Die Ransomware Jigsaw setzt dem Opfer die virtuelle Pistole auf die Brust und gewährt nur wenig Zeit, um den Forderungen nachzukommen. (Bild: IBM X-Force)

“Nachdem der letzte Satz von Entschlüsselungscodes veröffentlicht wurde, haben unserer Systeme mehr als 10.000 Crysis-Ransomware-Angriffe erkannt”, teilen die Eset-Forscher mit.

Warum die Schlüssel gerade jetzt freigegeben wurden, ist unklar. Möglicherweise haben alle Opfer, die bezahlen wollten, die Lösegeldforderungen der Hintermänner erfüllt, sodass sich diese nun aus der laufenden Kampagne zurückziehen. Zumal jeder Nutzer, der nun mit einem blauen Auge davonkommt, künftig wieder ein potentielles Opfer ist.

Tipp der Redaktion

EU-Datenschutzgrundverordnung (DSGVO)

Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.

In einigen Fällen müssen Opfer von Erpressersoftware allerdings gar nicht warten, bis die Master-Keys für ihre Ransomware veröffentlicht werden. Durch Fehler der Hacker sind Sicherheitsforscher manchmal in der Lage, diese Schlüssel zu rekonstruieren und daraus Entschlüsselungswerkzeuge zu entwickeln.

Dies gelang in der vergangenen Woche auch für die Ransomware WannyCry, die als die Erpressersoftware mit der bisher größten Opferzahl angesehen wird. Trotz der hohen Infektionsrate scheint die Campagne nicht den erwünschten finanziellen Erfolg gehabt zu haben.

Umfrage

Wo setzen Sie bei der Effizienzsteigerung ihrer Infrastruktur die höchste Priorität?

Ergebnisse

Loading ... Loading ...

Allerdings ist eine Entschlüsselung an bestimmte Voraussetzungen gebunden und nicht in jedem Fall möglich. Unter anderem darf ein infiziertes System nach der Infektion mit WannaCry nicht neu gestartet werden, da die zur Entschlüsselung benötigten Informationen im Arbeitsspeicher hinterlegt sind und bei einem Neustart verlorengehen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen