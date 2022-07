Verschlüsselungstrojaner sind in der Malware-Szene nach wie vor äußerst beliebt. Mit Schädlingen wie Locky und REvil haben Cyber-Kriminelle weltweit hunderte Millionen Euro Lösegeld erpresst. Doch manchmal machen die Entwickler der Trojaner Fehler und Sicherheitsforscher entwickeln auf dieser Basis kostenlose Entschlüsselungstools.

Schlägt ein Erpressungstrojaner zu, verschlüsselt er Dateien und fordert Lösegeld ein. Erst bei der Bezahlung wollen die Kriminellen den Schlüssel für die Dateien rausrücken. Einem Bericht von Sophos aus diesem Jahr zufolge, zahlen weltweit 46 Prozent der befragten Unternehmen das Lösegeld. In Deutschland sind das für Firmen im Schnitt mehr als 250.000 Euro.

Damit Opfer mitbekommen, ob es ein passendes Entschlüsselungstool gibt, starteten 2016 die beiden Portale ID Ransomware und No More Ransom. Hinter ID Ransomware stecken die in der Ransomware-Szene gut vernetzten Sicherheitsforscher vom MalwareHunterTeam. Für das Portal No More Ransom sind unter anderem Europol und Kaspersky verantwortlich.

Entschlüsselungstool finden

Bei ID Ransomware kann man herausfinden, ob es bereits ein Entschlüsselungstool gibt. Dafür muss man eine verschlüsselte Datei oder die Lösegeldforderung verschlüsselt via TLS zum Service hochladen. Die Betreiber versichern, dass, falls Ergebnisse gefunden werden, die Dateien nach der Analyse umgehend gelöscht werden. Der Service erkennt mittlerweile über 1000 verschiedene Erpressungstrojaner – Tendenz steigend. Nach der Analyse weiß man, welcher Trojaner zugeschlagen hat und ob es bereits ein Entschlüsselungstool gibt.

No More Ransomware bietet mittlerweile über 100 solcher Tools zum Download an. Diese erstellen unter anderem Entwickler von Bitdefender, Emsisoft und F-Secure. Im Portal findet man unter anderem Tools, um Dateien aus den Fängen von Babuk, Lockfile und REvil zu befreien. Auch in diesem Portal kann man verschlüsselte Dateien zur Analyse hochladen.

Leider bessern die Malware-Entwickler immer wieder nach und manche Tools funktionieren nicht mehr mit aktuellen Versionen der Trojaner. Betroffene sollten solche Tools aber auf jeden Fall ausprobieren.

Prävention

Um sich und seine Daten zu schützen, sollte man regelmäßig Backups durchführen und diese Daten nicht auf einer am Computer angeschlossenen Festplatte oder einem Netzwerklaufwerk speichern. Den Verschlüsselungstrojaner machen auch davor nicht Halt.

Um eine Infektion vorzubeugen, sollte man keinesfalls ohne Nachzudenken auf Links in Mails klicken oder Dateianhänge öffnen. In der Regel kommt Ransomware mittels gefälschter Office-Dokumente auf PCs. Die Mails sind oft ziemlich überzeugend gemacht und im Dokument steht, dass man Makros aktivieren muss, um es lesen zu können. Doch die Makros laden den Trojaner herunter.

Außerdem sollte man sicherstellen, dass jegliche Software auf dem aktuellen Stand ist, sodass Kriminelle nicht an Sicherheitslücken ansetzen können.

(des)