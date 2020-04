Im Zuge der Coronavirus-Pandemie haben Ransomware-Entwickler, sofern überhaupt möglich, ihren schlechten Ruf noch weiter ruiniert – nämlich indem sie derzeit gezielt Krankenhäuser und andere medizinische Einrichtungen angreifen, um hohe Lösegelder zu erpressen.

Möglicherweise hat dieses Verhalten vieler Gangs zumindest einen kleinen Teil dieser Szene zum Nachdenken gebracht. Möglicherweise hat auch nur irgendwo eine erboste Mutter den Stecker gezogen und ihren pubertierenden Nachwuchs dazu verdonnert, sich ein anderes Hobby (vorzugsweise im Freien) zu suchen. Wir wissen es nicht – klar ist: Die Gang um die Ransomware Shade/Troldesh hat sich bei ihren Opfern entschuldigt und mehr als 750.000 Entschlüsselungs-Keys nebst selbst geschriebener Decryption-Software veröffentlicht.

Benutzerfreundliche Tools in der Mache

Keys und Software hat das ehemalige Shade-Team in einem GitHub-Repository hinterlegt. In der beigefügten README.md entschuldigen sich die Erpresser bei ihren Opfern. Sie hoffen demnach, dass die Keys diesen helfen, ihre Daten wiederherzustellen – und dass Antiviren-Firmen sie zeitnah verwenden werden, um benutzerfreundlichere Entschlüsselungs-Tools zu erstellen. Kaspersky Lab hat bereits via Twitter eine entsprechende Ankündigung veröffentlicht und nebenbei auch die Echtheit der Keys bestätigt.

In den Entschlüsselungshinweisen auf GitHub nennt die Ex-Shade-Gang folgende Extensions für Dateien, die mit "ihrem" Tool entschlüsselbar sein sollen:

xtbl, ytbl, breaking_bad, heisenberg, better_call_saul, los_pollos, da_vinci_code, magic_software_syndicate, windows10, windows8, no_more_ransom, tyson, crypted000007, crypted000078, rsa3072, decrypt_it, dexter und miami_california.

Abkehr vom Cybercrime (?)

Im Zuge einer Analyse durch die Forscher von Malwarebytes im August 2019 wollen diese noch recht viele Troldesh-Infektionen beobachtet haben. Die Gang selbst beteuert in ihrer Entschuldigung allerdings, den Schädling seit Ende 2019 nicht mehr zu verbreiten und nun den finalen Schlussstrich ziehen zu wollen.

Die geläuterte Gang schließt ihre Botschaft (frei übersetzt) mit folgenden netten Worten: "Falls du [bei der Entschlüsselung] Schwierigkeiten haben solltest, raten wir dazu, abzuwarten, bis die AV-Firmen komfortablere Entschlüsselungs-Tools veröffentlicht haben. Du kannst auch in einem thematisch passenden Forum um Hilfe fragen."

