Opfer des Verschlüsselungstrojaners ThunderX können aufatmen: Sicherheitsforscher von Tesorion haben ein Gratis-Entschlüsselungstool veröffentlicht. Damit kann man vom Windows-Trojaner in Beschlag genommene Dateien befreien, ohne Lösegeld zahlen zu müssen.

ThunderX tauchte Ende August auf dem Radar von Sicherheitsforschern auf. Wie von dieser Schädlingsart gewohnt macht sich ThunderX über Dateien her und verschlüsselt diese. Betroffene Dateien weisen die Endung .tx_locked auf. Opfer können im Anschluss an die Verschlüsselung beispielsweise Fotos oder Dokumente nicht mehr öffnen. Den Schlüssel haben nur die Malware-Entwickler. Für die Herausgabe wollen sie ein Lösegeld. Wie hoch das in diesem Fall ausfällt, ist bislang unbekannt.

Gängige Techniken

Damit Opfer so wenig Mittel zur Wiederherstellung der Dateien in der Hand haben, löscht ThunderX auch die Schattenkopien von Windows. Daraus könnte man theoretisch ältere und somit unverschlüsselte Versionen von Dokumenten wiederherstellen. Neben lokalen Festplatten verschont der Erpressungstrojaner auch Dateifreigaben im Netzwerk nicht.

Diese Fähigkeiten gehören schon lange zum Repertoire von Ransomware. Doch in einem Bericht sind die Sicherheitsforscher noch auf eine weitere Funktion gestoßen: ThunderX bringt ein Modul mit, mit dem es Dateien unwiederbringlich zerstören könnte. Ob das bereits zum Einsatz kommt, ist zum jetzigen Zeitpunkt unklar.

Gefundenen Fehlern sei dank!

Um Dateien zu verschlüsseln, setzt ThunderX auf Salsa20. Doch die Sicherheitsforscher haben beim Ablauf der Verschlüsselung zwei Bugs entdeckt: So kommt es bei der Schlüsselgenerierung und beim Multi-Threading zu Fehlern. Diese scheinen elementar zu sein, da die Forscher nun das Entschlüsselungstool "ThunderX Ransom" veröffentlicht haben. Wo genau das Tool ansetzt, führen sie derzeit nicht aus.

Das Tool kann man auf der Plattform No More Ransom herunterladen. Dort findet man noch unzählige weitere kostenlose Entschlüsselungstools und Anleitungen, wie man diese nutzt. Bei dem Projekt handelt es sich um eine Zusammenarbeit von unter anderem Kaspersky Europol und McAfee. Außerdem sind noch einige Hersteller von Anti-Viren-Software mit an Bord.

Im Sommer 2020 wurde das Portal vier Jahre alt. Eigenen Angaben zufolge konnten mit den angebotenen Tools rund 630 Millionen US-Dollar an Lösegeldzahlungen vereitelt werden.

