Niederländisches NHTCU und Kaspersky entwickeln Decryption Key Tool für Ransomware

Es gibt so Momente, da könnte man sich selbst ohrfeigen. Einer dieser Momente dürfte sein, sobald man wieder eine dieser lästigen E-Mails eines spendablen Prinzen aus Zamunda oder Nairobi oder sonst woher im Spam-Postfach hat, der Euch als einzig verbleibenden Erben einer angeblich mit Euch verwandten Person ausgemacht hat. Warum die Ohrfeige? Nun, statt auf „Spam-Ordner leeren“ zu klicken, habt Ihr auf den Anhang der E-Mail geklickt und die darin befindliche Ransomware frisst sich durch Euer System. Wenn Ihr den Computer weiter nutzen wollt, werdet Ihr aufgefordert eine Bitcoin Transaktion zu tätigen. Nun kommt jedoch Kaspersky mit einer Lösung in Form eines Decryption Key Generator um die Ecke.

Bildschirmfoto 2015-04-14 um 19.36.42

Die beschriebene Art von Ransomware, bei der Euer Computer abriegelt und Geld verlangt, ist ein sogenannter CoinVault. Die niederländische „National High Tech Crime Unit (NHTCU)“ hat kürzlich einen dieser Command-and-Control Server hochgehen lassen, die insbesondere Windows Systeme seit November letzten Jahres angreifen. Beim Durchforsten des Servers entdeckte die Spezialeinheit eine große Datenbank voller Decryption Keys, die man kurzerhand mit Kaspersky als Fachunternehmen für Sicherheitssoftware teilte.

Kaspersky baute hieraus das Noransomware Decryption Tool. Auf der Webseite kann man die Bitcoin Wallet-Adresse angeben, die auf dem gesperrten Computer erscheint und erhält im Anschluss von Kaspersky einen Decryption Key sowie eine Decryption Software. Ein entsprechendes How-To stellt Kaspersky ebenfalls zur Verfügung.

Zwar soll das Tool aktuell noch nicht zu 100 Prozent effektiv funktionieren, was daran liegt, dass noch nicht alle potenziellen Keys vom Server durch die NHTCU ausgewertet wurden, aber es ist schon mal für den Anfang besser als gar nichts.

(Quelle: PC World / via Engadget)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Nerdlicht in einer dieser hippen Startup-Städte vor Anker. Macht was mit Medien... Auch bei den üblichen Kandidaten des sozialen Interwebs auffindbar: Google+, Twitter, Xing, LinkedIn und Instagram. PayPal-Kaffeespende an den Autor.

9 Kommentare

  1. Na dann wollen wir hoffen, dass diese Lösung auch Menschen erreicht, die nicht so technikaffin sind, wie die Leser hier. Ich setze den Beitrag jedenfalls mal in meine Favoriten.

  2. Savantorian says:

    Wie soll man bitte an die Seite kommen, wenn der Rechner durch den Ransomware Nagscreen gesperrt ist?

  3. @savantorian Geiler Einwand…!
    Möglicherweise gibt es irgendwo in diesem Universum noch einen anderen Computer? Huch, oder so etwas unglaubliches wie ein Smartphone…?

  4. Savantorian says:

    Lars, ich gehe mal vom schlimmsten Szenario aus.. beides nicht zur Hand? 😉

  5. Savantorian says:

    … es soll ja auch solche Leute geben, die nicht unbedingt 3 Rechner und ein Dutzend Smartphones bei sich haben, nicht permanent vernetzt oder die Super EDV User sind?

  6. Nichts für ungut aber wenn man es nicht schafft, einen zweiten Onlinezugang zu finden, hat man auch keine Freunde und ist insgesamt für das Internet ungeeignet. Eher unwahrscheinlich.

  7. @Savantorian Sofern man keinen Zugriff auf das Internet mehr hat kann man auch keine Bitcoin Transaction durchführen. Ganz zu schweigen dass Bitcoin den Leuten dann eh nichts sagen wird. Bleibt nur der Gang zum örtlichen PC-Doc und neuinstallieren….

    Schönes Tool, funktioniert aber eben leider nur wenn der benötigte Key auch bereits durch Kaspersky eingepflegt wurde. War der Key nicht in der gefundenen DB dann schaut man in die Röhre.
    Aber lieber hat man eine kleine Chance an seine Daten zu kommen als gar keine mehr.

  8. Ich finde es einen edlen Schritt, ein solches Tool zu veröffentlichen.

    Wenn der Angriff wie vom Pascal beschrieben durchgeführt wurde, hätte ich zwar mit den betroffenen kein Mitleid, Nutzer von Windows müssen aber gar nicht so leichtsinnig sein, und Anhänge aus E-Mails öffnen. Windows installiert haben ist schon leichtsinnig genug. Den hier bekämpften Schädling kenne ich zwar nicht persönlich, aber ein humaner Abkömmling der damaligen „BKA-Erpresser“ hatte mal den Rechner eines Kumpels lahm gelegt, durch das Besuchen einer gehackten Seite mit dem Internetexplorer. Hätte es wirklich seine Daten erwischt, hätte ich ein solches Tool willkommen geheißen.

    Dieses Tool profitiert im übrigen davon, dass die Entwickler der bösen Software nicht wirklich gemein, oder unfähig sind. Warum nutzen sie nicht einfach einen zufällig erzeugten Schlüssel? Dann wäre dieses Tool nutzlos…

  9. „Windows installiert haben ist schon leichtsinnig genug“. Ach ja, diese Windows-Trolle sterben niemals aus.