Kostenloser Decryptor für Ransomware Maze, Egregor und Sekhmet veröffentlicht

Stefan Beiersmann,
Ransomware (Bild: Shutterstock.com/Bacho)

Ein Unbekannter veröffentlicht die Master-Entschlüsselungsschlüssel. Emisoft entwickelt daraus einen Decryptor. Der hilft allerdings nur Opfern, die ihre verschlüsselten Daten aufbewahrt haben und noch über die Lösegeldforderung verfügen.

Für die Ransomware-Familien Maze, Sekhmet und Egregor sind nun kostenlose Entschlüsselungstools verfügbar. Zuvor hatte ein Unbekannter im v die Master-Entschlüsselungsschlüssel der drei Schadprogramme veröffentlicht.

“Jedes Archiv mit Schlüsseln hat entsprechende Schlüssel in den numerischen Ordnern, die der Anzeigen-ID in der Konfiguration entsprechen. Im ‘OLD’-Ordner von Maze Leak befinden sich die Schlüssel für die alte Version, die auf E-Mail basiert”, heißt es in dem Beitrag eines Users, der sich Topleak nennt. Er bat zudem darum, vorranging einen Decryptor für die alte Maze-Variante zu erstellen, da unter ihren Opfern viele reguläre PC-Nutzer seien.

Zudem betonte der Nutzer, die Veröffentlichung der Schlüssel sei geplant und stehe in keinem Zusammenhang mit den jüngsten Verhaftungen von Cybererpressern. Zudem hätten alle Teammitglieder ihre Aktivitäten eingestellt und würden diese auch nicht wieder aufnehmen. “Es war schön, mit Ihnen zu arbeiten. Alle Quellcode-Tools werden gelöscht.”

Der jetzt verfügbare Decryptor wurde vom Sicherheitsanbieter Emisoft entwickelt. Zur Entschlüsselung ihrer Dateien benötigen Betroffene jedoch die ursprüngliche Lösegeldforderung.

Laut Brett Callow, Threat Analyst von Emisort, sind Maze, Egregor und Sekhmet nicht mehr aktiv. Viele Unternehmen hätten jedoch ihre verschlüsselten Dateien archiviert, in der Hoffnung, irgendwann über ein Entschlüsselungstool wieder Zugang zu den Dateien zu erhalten – was nun tatsächlich möglich ist.

“Die Freigabe der Schlüssel ist ein weiteres Zeichen dafür, dass die Ransomware-Banden verunsichert sind. Die Bande behauptet zwar, ihre Entscheidung habe nichts mit den jüngsten Verhaftungen von REvil zu tun – ja, richtig. Die Realität ist, dass sowohl die Kosten als auch die Risiken für die Gangs steigen. Ransomware wurde zu einem so großen Problem, weil die Bedrohungsakteure fast ungestraft agieren konnten”, sagte Callow im Gespräch mit ZDNet.com.

Die Wahrscheinlichkeit, in den USA für einen Cyberangriff zur Rechenschaft gezogen zu werden, lag Callow zufolge bisher bei rund 0,05 Prozent. Neue Maßnahmen der US-Regierung, die internationale Zusammenarbeit von Strafverfolgern und hohe Belohnungen hätten inzwischen aber das Risiko für die Cybererpresse erhöht.

Unter anderem traf es im Februar 2021 auch die Hintermänner der Egregor-Ransomware. Sie wurden in der Ukraine verhaftet. Sicherheitsexperten gehen davon aus, dass hinter Maze und Sekhmet dieselbe Gruppe steckte.