Ransomware: "Ragnarok"-Erpresser bieten Opfern Entschlüsselungsmöglichkeit an

Die Macher der Ragnarok-Ransomware haben Firmennamen und Leak-Drohungen von ihrer Website entfernt und durch einen Decryptor ersetzt.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 66 Beiträge

(Bild: Pixels Hunter/Shutterstock.com)

Von
  • Olivia von Westernhagen

Ragnarok ist eine jener Ransomware-Gangs, die ihre Opfer bislang nicht nur mit verschlüsselten Daten erpresste, sondern darüber hinaus auch mit der Veröffentlichung erbeuteter Dokumente drohte, um noch mehr Druck auszuüben. Offenbar haben die Kriminellen nun jedoch die Waffen gestreckt: Auf der bisherigen Leak-Site steht ein Entschlüsselungstool bereit. Es wird derzeit von Experten analysiert, die in Kürze eine "saubere" und damit gefahrlos einsetzbare Version bereitstellen wollen.

Wie unter anderem die IT-News-Website Bleeping Computer berichtet, hatte die Leak-Website von Ragnarok noch bis vergangenen Donnerstag die Namen von insgesamt 12 Unternehmen aus aller Welt aufgeführt. Diese seien im Zuge der Androhung von Daten-Veröffentlichungen bei Nichtzahlung eines Lösegelds zwischen dem 7. Juli und dem 16. August 2021 nach und nach hinzugefügt worden. Unternehmen aus Deutschland waren wohl nicht auf der Liste, woraus sich allerdings nicht schließen lässt, dass nicht noch weitere (und möglicherweise auch deutsche) Unternehmen erpresst wurden.

Warum die Liste am Donnerstag entfernt und durch einen Decryptor ersetzt wurde, ist unklar. Allerdings haben dieses Jahr schon mehrere Ransomware-Gangs, darunter etwa die Macher der Schädlinge Ziggy und Avaddon, aufgegeben und Entschlüsselungstools veröffentlicht.

Dass die Entschlüsselung funktioniert, hat unter anderem der Sicherheitsforscher Michael Gillespie im Zuge eines Tests bestätigt. Statt die von den Kriminellen bereitgestellten .exe-Dateien des Decryptors arglos auf dem eigenen Rechner auszuführen, sollten Ragnarok-Opfer aber lieber warten, bis der veröffentlichte Masterkey in ein vertrauenswürdiges Tool eingebaut wurde. Ein solches soll zeitnah auf der "No More Ransom"-Website, einem Gemeinschaftsprojekt unter anderem von Europol und der niederländischen Polizei, veröffentlicht werden.

(ovw)