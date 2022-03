Ransomware gehört zu den gefährlichsten IT-Bedrohungen derzeit: Die Verschlüsselungstrojaner verschlüsseln Daten und zur Entschlüsselung wird von den Cyberkriminellen oft ein hohes Lösegeld gefordert. Ob die Daten dann wirklich entschlüsselt werden, steht in den Sternen. Um dem etwas entgegensetzen zu können, haben verschiedene Sicherheitsanbieter Tools zur Ransomware-Entschlüsselung entwickelt.

„Leider gibt es nicht das eine Tool, mit dem sich sämtliche Daten unabhängig von der verschlüsselnden Ransomware-Familie wiederherstellen lassen. Doch wer weiß, mit welchem Verschlüsselungstrojaner er oder sie angegriffen wurde, kann die verschlüsselten Daten mithilfe der Decryption-Tools womöglich wiederherstellen“, sagt Patrycja Schrenk, Geschäftsführerin der PSW Group . Die IT-Sicherheitsexpertin gibt einen Überblick über die gängigsten Tools.

Bitdefender-Tool für REvil Ransomware

Die Ransomware-Gang REvil beschäftigte die IT-Welt schon einige Jahre, bevor sie geschnappt wurde. Die Zahl ihrer Opfer war riesig – REvil vermietete ihr zwielichtiges Produkt sogar mittels Ransomware-as-a-Service (RaaS) an andere Cyberkriminelle. Damit Opfer der REvil-Ransomware ihre Daten entschlüsseln können, stellte der Sicherheitsanbieter Bitdefender im September 2021 ein kostenfreies Entschlüsselungstool bereit. „REvil-Opfer, deren Daten vor dem 13. Juli 2021 verschlüsselt wurden, können mithilfe des Entschlüsselungstools ihre Daten wiederherstellen“, so Schrenk.

Avast Decryption Tools gegen AtomSilo, Babuk und LockFile

Der Sicherheitsanbieter Avast unterstützt Opfer der Verschlüsselungstrojaner AtomSilo, Babuk sowie LockFile. „Die Ransomware-Familien LockFile und AtomSilo sind sich so ähnlich, dass das Avast Decryption Tool in beiden Fällen helfen soll. Allerdings kann dieses Tool Dateien nur dann entschlüsseln, wenn sie ein bekanntes Dateiformat besitzen. Dateien mit unbekannten oder proprietären Formaten lassen sich mit dem Tool zur Ransomware-Entschlüsselung nicht wiederherstellen. Zudem lassen sich verschlüsselte .jpg- sowie .bmp-Dateien nicht entschlüsseln“, informiert Patrycja Schrenk.

Emsisofts Tool für BlackMatter Ransomware

Den Sicherheitsforschenden von Emsisoft gelang die Entwicklung einer Entschlüsselungsfunktion für einige Varianten der BlackMatter-Ransomware. Das Emsisoft-Tool für die Ransomware-Entschlüsselung basiert auf einem Bug in den Verschlüsselungsroutinen des Trojaners. „Leider ist dieser den Cyberkriminellen hinter BlackMatter ebenfalls aufgefallen, sodass diese den Fehler behoben haben und das Entschlüsselungstool nur bei der fehlerhaften Version wirksam werden kann“, gibt Schrenk zu bedenken.

AVG-Tools zur Ransomware-Entschlüsselung

Auch aus dem Hause AVG kommen gleich einige Tools zur Ransomware-Entschlüsselung für verschiedene Verschlüsselungstrojaner. Auch hier gilt: Für jede Ransomware hat AVG ein eigenes Tool entwickelt. Dazu zählen die Verschlüsselungstrojaner Apocalypse, BadBlock, Bart, Crypt888, Legion, SZFLocker und TeslaCrypt.

Trustwave nutzt Schwächen im Schadcode von BlackByte

Beliebige Dateien, die mit der BlackByte-Ransomware verschlüsselt wurden, lassen sich mit dem Tool des SpiderLabs-Teams von Trustwave entschlüsseln. Dafür hat das Forscherteam Schwächen im Schadcode gefunden und diese im Sinne der BlackByte-Opfer ausgenutzt. „Die BlackByte-Gang arbeitete nicht so findig wie beispielsweise die Konkurrenz von REvil, so dass es nicht schwer war, Schwächen zu finden. Der BlackByte Schadcode besitzt keine Funktion zum Exfiltrieren von Daten, sodass angedrohte Veröffentlichungen von Informationen nur heiße Luft waren“, so Patrycja Schrenk.

Kasperskys Tools zur Ransomware-Entschlüsselung

Kaspersky hält es ähnlich wie AVG und hat verschiedene Entschlüsselungstools für unterschiedliche Ransomware-Arten entwickelt. „Konkret kann Kaspersky beim Entschlüsseln unterstützen, wenn Systeme von den Ransomware-Familien Shade, Rakhni, Rannoh, CoinVault, Wildfire oder Xorist and Vandev befallen wurden“, weiß die IT-Sicherheitsexpertin.

ESET mit verschiedenen Decryptors

Auch ESET fokussiert sich nicht nur auf eine Ransomware-Familie, sondern möchte möglichst breitflächig unterstützen. Dafür werden auf der ESET-Website Decryptor beispielsweise für Crysis, Mabezat.A, Simplocker oder TeslaCrypt kostenfrei zur Verfügung gestellt.

„Ransomware existiert bereits seit einigen Jahren – und wird uns wohl noch viele Jahre als ernst zu nehmende Gefahr begleiten. Doch den Machenschaften der Cyberkriminellen kann endlich etwas entgegengesetzt werden. Wichtig ist, beim Thema Ransomware auf dem Laufenden zu bleiben. Denn nur so können mögliche Bedrohungen erkannt und im Fall der Fälle reagiert werden. Empfehlenswert ist in diesem Zusammenhang insbesondere die Website des Bundesamts für Sicherheit in der Informationstechnik, auf der Neuerungen zügig publiziert werden“, rät Patrycja Schrenk. (sas)

Weitere Informationen unter: PSW Group