Ransomware Crysis entschlüsselt
200 Master-Keys erlauben eine vollständige Entsperrung von Rechnern. Sicherheitsanbieter Eset hat bereits ein entsprechendes Tool entwickelt.
Für die Ransomware Crysis liegen nun 200 Master-Keys bereit. Mit Hilfe dieser auf Pastebin veröffentlichten Schlüssel lassen sich Dateien retten, die von der Erpressersoftware verschlüsselt wurden. Anwender brauchen dann den Lösegeldforderungen nicht nachkommen. Auch die Entwicklung von Entschlüsselungstools sind mit diesen Schlüsseln möglich. Mit diesen Tools, wie sie etwa von dem der Sicherheitsanbieter Eset vorliegen wird die Entsperrung für den Anwernder vereinfacht.
Laut Eset soll es sich um die dritte Veröffentlichung des Generalschlüssel-Satzes für Crysis-Varianten. Die aktuelle Veröffentlichung aber unterscheidet sich von älteren Master-Keys. Denn diese neuen Schlüssel sind auch in der Lage, Dateien mit den Endungen .wallett und .onion zu entsperren.
“Nachdem der letzte Satz von Entschlüsselungscodes veröffentlicht wurde, haben unserer Systeme mehr als 10.000 Crysis-Ransomware-Angriffe erkannt”, teilen die Eset-Forscher mit.
Warum die Schlüssel gerade jetzt freigegeben wurden, ist unklar. Möglicherweise haben alle Opfer, die bezahlen wollten, die Lösegeldforderungen der Hintermänner erfüllt, sodass sich diese nun aus der laufenden Kampagne zurückziehen. Zumal jeder Nutzer, der nun mit einem blauen Auge davonkommt, künftig wieder ein potentielles Opfer ist.
EU-Datenschutzgrundverordnung (DSGVO)
Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.
In einigen Fällen müssen Opfer von Erpressersoftware allerdings gar nicht warten, bis die Master-Keys für ihre Ransomware veröffentlicht werden. Durch Fehler der Hacker sind Sicherheitsforscher manchmal in der Lage, diese Schlüssel zu rekonstruieren und daraus Entschlüsselungswerkzeuge zu entwickeln.
Dies gelang in der vergangenen Woche auch für die Ransomware WannyCry, die als die Erpressersoftware mit der bisher größten Opferzahl angesehen wird. Trotz der hohen Infektionsrate scheint die Campagne nicht den erwünschten finanziellen Erfolg gehabt zu haben.
Allerdings ist eine Entschlüsselung an bestimmte Voraussetzungen gebunden und nicht in jedem Fall möglich. Unter anderem darf ein infiziertes System nach der Infektion mit WannaCry nicht neu gestartet werden, da die zur Entschlüsselung benötigten Informationen im Arbeitsspeicher hinterlegt sind und bei einem Neustart verlorengehen.
[mit Material von Stefan Beiersmann, ZDNet.de]