Beiträge

Vor eini­gen Wochen haben die Entwickler der Kryptotrojaner Petya, Goldeneye und Mischa die Master‐Keys für die­se Trojaner ver­öf­fent­licht. Nun hat Malwarebytes ein Entschlüsselungstool her­aus­ge­bracht. Eine Anleitung zur kor­rek­ten Anwendung fin­det sich eben­falls im Malwarebytes‐Blog.

Wer sich einen ande­ren aktu­el­len Verschlüsseliungstrojaner gefan­gen hat, dem bleibt nicht viel Spielraum. Sind drin­gend benö­tig­te Daten betrof­fen, bleibt im Zweifel nur die Zahlung des Lösegelds. Ansonsten emp­fiehlt es sich, die betrof­fe­nen Platten aus­zu­bau­en und auf die Seite zu legen. In der Vergangenheit wur­den immer wie­der Master‐Schlüssel her­aus­ge­ge­ben oder die genutz­te Verschlüsselung war feh­ler­haft. Dementsprechend gab und gibt es immer wie­der neue Entschlüsselungstools für wei­te­re Varianten der Kryptotrojaner.

Lange Zeit hat man von Locky nicht mehr viel gehört, wäh­rend über ande­re Vertreter der Krypto‐Trojaner zahl­reich berich­tet wur­de. Doch Locky ist nach wie vor aktiv und hat dazu gelernt. Wohl weni­ger gra­vie­rend ist die Tatsache, dass Locky nun die Dateiendung “.odin” statt “.locky” für die ver­schlüs­sel­ten Dateien ver­wen­det. Gravierender ist die Neuerung, dass für die erfolg­rei­che Arbeit nun kei­ne Online‐Verbindung zum C&C Server der hin­ter Locky ste­hen­den Erpresser mehr not­wen­dig. Bisher konn­te Locky ohne die­se Verbindung nicht mit sei­nem Werk begin­nen. Nun benö­ti­gen neue­re Varianten die Server nicht mehr als Anstoß zur Erzeugung des loka­len Schlüssels. Die genaue Technik ist noch nicht bekannt.

Die Vorteile lie­gen klar auf der Hand: Die kosten­in­ten­si­ve Infrastruktur zum Betrieb der C&C Server ent­fällt. Lösegeldzahlungen wer­den nach wie vor über Links in Tor‐Netz abge­wickelt. Aber auch den Ermittlern feh­len somit wert­vol­le Anhaltspunkte, um die Drahtzieher mög­li­cher­wei­se ding­fest zu machen.

Im Vergleich zu ande­ren Krypto‐Trojanern steht für Locky nach wie vor kein Entschlüsselungstool zur Verfügung. Hier hilft nur zah­len, oder ein funk­ti­ons­fä­hi­ges Backup für ein Recovery zur Verfügung zu haben. Übrigens: Wie lan­ge lie­gen Ihre letz­te Überprüfung der Backup‐Strategie oder ein voll­wer­ti­ger Recovery‐Test zurück?

http://heise.de/-3354925

Laut einer Meldung von heise.de haben die Entwickler von Teslacrypt die Weiterentwicklung ein­ge­stellt und den Masterschlüssel für den Kryptotrojaner ver­öf­fent­licht. Betroffene, deren Syteme und Daten noch ver­schlüs­selt sind, kön­nen auf­at­men. Nach ersten Berichten funk­tio­niert der Master‐Key und in Verbindung mit dem Tool Tesladecoder sind alle Varianten von Teslacrypt 1 bis 4 wie­der zu ent­schlüs­seln.