Ragnarok ist eine jener Ransomware-Gangs, die ihre Opfer bislang nicht nur mit verschlüsselten Daten erpresste, sondern darüber hinaus auch mit der Veröffentlichung erbeuteter Dokumente drohte, um noch mehr Druck auszuüben. Offenbar haben die Kriminellen nun jedoch die Waffen gestreckt: Auf der bisherigen Leak-Site steht ein Entschlüsselungstool bereit. Es wird derzeit von Experten analysiert, die in Kürze eine "saubere" und damit gefahrlos einsetzbare Version bereitstellen wollen.

Hintergründe der Veröffentlichung unklar

Wie unter anderem die IT-News-Website Bleeping Computer berichtet, hatte die Leak-Website von Ragnarok noch bis vergangenen Donnerstag die Namen von insgesamt 12 Unternehmen aus aller Welt aufgeführt. Diese seien im Zuge der Androhung von Daten-Veröffentlichungen bei Nichtzahlung eines Lösegelds zwischen dem 7. Juli und dem 16. August 2021 nach und nach hinzugefügt worden. Unternehmen aus Deutschland waren wohl nicht auf der Liste, woraus sich allerdings nicht schließen lässt, dass nicht noch weitere (und möglicherweise auch deutsche) Unternehmen erpresst wurden.

Warum die Liste am Donnerstag entfernt und durch einen Decryptor ersetzt wurde, ist unklar. Allerdings haben dieses Jahr schon mehrere Ransomware-Gangs, darunter etwa die Macher der Schädlinge Ziggy und Avaddon, aufgegeben und Entschlüsselungstools veröffentlicht.

Lieber sauberes Tool abwarten

Dass die Entschlüsselung funktioniert, hat unter anderem der Sicherheitsforscher Michael Gillespie im Zuge eines Tests bestätigt. Statt die von den Kriminellen bereitgestellten .exe-Dateien des Decryptors arglos auf dem eigenen Rechner auszuführen, sollten Ragnarok-Opfer aber lieber warten, bis der veröffentlichte Masterkey in ein vertrauenswürdiges Tool eingebaut wurde. Ein solches soll zeitnah auf der "No More Ransom"-Website, einem Gemeinschaftsprojekt unter anderem von Europol und der niederländischen Polizei, veröffentlicht werden.

(ovw)