Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

Verschlüsselungstrojaner erkennen – Dateien entschlüsseln!

M.Sc. Chris Wojzechowski

Virenbefall, nicht verfügbare Dateien – jetzt heißt es Verschlüsselungstrojaner erkennen – und zwar schnell! Seit geraumer Zeit erfreut sich der Einsatz von Verschlüsselungstrojanern unter Kriminellen größter Beliebtheit. Kein Wunder – denn wenn die Schadsoftware richtig programmiert ist, würde es Jahre dauern den Schlüssel herauszufinden und das System damit zu entsperren. Mittlerweile haben sich viele daran probiert, eine Ransomware zu programmieren. Die Kunst ist es, den Trojaner und die Verschlüsselungsalgorithmen ohne Sicherheitslücken zu programmieren. Das fällt allerdings schon Konzernen wie Apple, Microsoft und Google schwer – bei legaler Software.

Mit der Hilfe von NoMoreRansom können Verschlüsselungstrojaner entdeckt und mit etwas Glück können Sie die Dateien entschlüsseln ohne Lösegeld zahlen zu müssen. Eine E-Mail, ein falscher Klick und ein Augenblick der Unachtsamkeit genügt und der Verschlüsselungstrojaner tobt sich auf der Festplatte aus. Was im Privaten Bereich ärgerlich ist, kann für Unternehmen existenzbedrohend sein.

Das Verhalten von Verschlüsselungstrojanern ist höchst unterschiedlich

Die sonst so mächtige Waffe der Verschlüsselung, die in der Regel die Privatsphäre schützt, wird bei einer Ransomware gegen einen gerichtet. Die Dateien werden verschlüsselt – und wenn man dem Kriminellen glaubt, dann kann auch nur er diese wieder entschlüsseln. Darauf ist jedoch kein Verlass – zum Glück. Denn wer Kryptographie selber programmiert, läuft unter anderem Gefahr, dass ein Denkfehler dafür sorgt, dass die Verschlüsselung bricht. Deshalb lernt man diesen Tipp bereits im Studium: Kryptographie nicht selber machen.

Manche Krypto Trojaner verschlüsseln „nur“ Dateien, Word Dokumente oder PDFs. Es gibt aber auch Trojaner die eine etwas härtere Spur fahren wie z.B. der Krypto Trojaner Jigsaw – er löscht Dateien in regelmäßigen Abständen. Der Nachfolger von Jigsaw , nachdem er mit einem Decrypting Programm ausgehebelt werden konnte, war CryptoHitman. Hier zeigt sich das Katz und Maus Spiel zwischen den beiden Fronten. Der mit dem Twitternamen DemonSlay335 bekannte, selbst ernannte „Ransomwarehunter“, sorgte für die nötige Software um Jigsaw auszuhebeln und ebenfalls für die Modifikation der Software um CryptoHitman zu entfernen und die Daten zu entschlüsseln. Sehr erfolgreich war jedoch auch Petya.

Ist man Opfer eines Verschlüsselungstrojaners geworden, sollte die (Internet-)Verbindung zu anderen Geräten unterbrochen werden: WLAN aus und LAN Kabel ziehen! Präventiv funktionieren Backups am besten – die zum Zeitpunkt der Infektion, im besten Fall, physikalisch vom Rechner getrennt gewesen sind. Es gibt Fälle, in denen es schlecht gewesen ist den Rechner neu zu starten. Hingegen bei anderen Verschlüsselungstrojanern eine Entschlüsselung der Dateien dann erst anwendbar ist. Ein entscheidender Punkt bei der Beseitigung des Verschlüsselungstrojaners ist es, zu erkennen welcher Trojaner am Werk war. In vielen Fällen führt das zu der Option die Dateien entschlüsseln zu können.

Um herausfinden zu können, welcher Verschlüsselungstrojaner gerade sein Unwesen treibt, muss der Trojaner erst loslegen. Um den Trojaner benennen zu können werden infizierte Dateien benötigt. Die Dateiendungen, die der Trojaner den Dateien anhängt, sind recht eindeutig und reichen, je nach Trojaner, von .fun über .xx bis .porno. Werden solche solche Dateien auf dem Rechner entdeckt, können diese bei ID Ransomware hochladen. Außerdem muss die erscheinende Warnmeldung hochgeladen werden, die einen zur Bezahlung auffordert. Meistens ist das ein .txt File. Eine andere Möglichkeit stellt NoMoreRansom.org dar

NoMoreRansom.org hilft Dateien entschlüsseln zu können!

Manche Verschlüsselungstrojaner geben sich selber zu erkennen. Doch gerade in einer so ungewöhnlichen Situation ist es verständlich, dass ein kleiner Hinweis oft untergeht. Um die Geschäfte von Cyber Kriminellen zu stören, wurde das Projekt NoMoreRansom ins Leben gerufen. Es wird von IT-Security-Unternehmen und Strafverfolgungsbehörden betrieben. Federführend dabei ist die Initiative „National High Tech Crime Unit“ der niederländischen Polizei, Europols europäischem Cybercrime Center, Kaspersky Lab und McAfee.

Das Tool Crypto Sheriff von NoMoreRansom benötigt nur zwei Dateien, die durch den Verschlüsselungstrojaner verschlüsselt worden sind. Falls das nicht möglich ist, kann auch die Lösegeldforderung hochgeladen werden. Daran kann NoMoreRansom ebenfalls erkennen, um welchen Trojaner es sich handelt.

Verschlüsselungstrojaner - Dateien entschlüsseln
Der Crypto Sheriff hilft bei der Erkennung des Verschlüsselungstrojaners. Dateien entschlüsseln wird so erst möglich. Screenshot: nomoreransom.org

30 neue Partner konnte NoMoreRansom.org, die internationale Anlaufstelle gegen Krypto Trojaner gewinnen – und das, obwohl es die Plattform erst seit Juli gibt! Ergänzt wird die Plattform um weitere Tools, die es ermöglichen diverse Verschlüsselungstrojaner zu entfernen, ohne ein Lösegeld zu bezahlen. Deutsche Polizeibehörden engagieren sich leider nicht in diesem Projekt.

NoMoreRansom.org wächst und zeigt eine mögliche, internationale Zusammenarbeit!

Ein weltweites Problem national zu lösen ist nur in den seltensten Fällen möglich. Das funktioniert weder beim Klimawandel, noch gegen terroristische Gruppen. Die digitale Erpressung, ausgelöst durch Verschlüsselungstrojaner bzw. Ransomware, lässt sich durch nationale Maßnahmen nicht verhindern. Eine Internationale Zusammenarbeit ist nötig um Informationen, Entschlüsselungstools und Ermittlungsarbeiten zusammenzuführen. Und auch um an die Hintermänner zu gelangen, führt kein Weg an einer internationalen Zusammenarbeit vorbei!

NoMoreRansom.org hilft bei Praevention und der Entschluesselung!
NoMoreRansom.org unterstützt euch bei der Prävention – aber auch bei der möglichen Schadensbegrenzung! (Quelle: Screenshot NoMoreRansom.org)

NoMoreRansom erfreut sich ständig über neue Partner

Zu den Initiatoren der Plattform zählen Europol, Intel Security, Kaspersky Lab und die niederländische Polizei. Obwohl die Plattform noch recht jung ist – sie wurde erst im Juli 2016 ins Leben gerufen – schließen sich nun zahlreiche Partner der Plattform an. Darunter u.a.:

  • Associate Partner
    • Bitdefender
    • Check Point
    • Trend Micro
    • Emisoft
  • Unterstützende Partner
    • G Data
    • Eset

Die Polizei aus Dänemark, Finnland, Kroatien, Malta, Rumänien, Singapur und der Slowakei haben sich ebenfalls dem Projekt angeschlossen. Im Oktober traten bereits die Polizeibehörden aus Bosnien-Herzegowina, Bulgarien, Frankreich, Großbritannien, Irland, Italien, Kolumbien, Lettland, Litauen, Portugal, Spanien, Ungarn und der Schweiz bei. Erpressungstrojaner sind eine Plage. Die Lösegelder werden in den meisten Fällen als eine Bitcoin Zahlung gefordert. Durch die Anonymität haben die Betroffenen keine Handhabe. Gewissheit, ob man nach der Zahlung auch seine Daten wieder freigeschaltet bekommt, hat man nicht. Die internationale Plattform hat das Potenzial zur Anlaufstelle Nr. 1 zu werden, wenn man von einem Verschlüsselungstrojaner befallen ist. Auf NoMoreRansom werden mittlerweile zahlreiche Entschlüsselungstools oder hilfreiche Links angeboten.

Die Entschluesselungstools von NoMoreRansom.org
Mittlerweile ist es möglich, zahlreiche Krypto Trojaner, mithilfe von NoMoreRansom.org, zu entschlüsseln (Quelle: Screenshot NoMoreRansom.org)

Ich weiß welcher Krypto Trojaner mich infiziert hat – was nun?

Die Apps versuchen im ersten Schritt die Verschlüsselungstrojaner zu identifizieren. Eine Entschlüsselung der Dateien erledigen die Websites nicht – empfehlen aber verfügbare Werkzeuge von Drittanbietern! Bei sehr erfolgreichen Verschlüsselungstrojaner informieren auch die Websites über verfügbare Decryptor Tools. Falls Betroffene die Straft melden wollen, stellt NoMoreRansom weitere Informationen bereit.

Verhinderung von Ransomware durch Informationen und Sensibilisierung!

Beim Verteilen von Malware werden die Versender immer kreativer. Am Anfang waren es noch E-Mails im schlechtem Deutsch – wenn überhaupt. Das hat sich mittlerweile geändert. Der Trojaner GoldenEye wird in Form von Bewerbungen, welche makellos verfasst und passend auf vakante Stellen sind, verschickt. Das einzig unseriöse eine .xls Datei. Um in diesem Moment richtig zu schalten und sich der Gefahr bewusst zu sein, helfen Informationen. So wurde der GoldenEye Trojaner bevorzugt von einer „Rolf.Drescher@tld…“ Domain versendet.


Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!


Verschlüsselungstrojaner erkennen und im besten Fall entschlüsseln.
Das Fazit!

Virenscanner erkennen längst nicht mehr jede Malware. Verschlüsselungstrojaner werden dazu immer ausgeklügelter und richten sich teilweise mit zielgerichteten Anschreiben an Unternehmen. Sie werden sogar in Form von Bewerbungen, welche auf die Stellenangebote der Firma passen, verschickt. Das einzig unseriöse ist dann eine .xls Datei. Da für eine erfolgreiche Infizierung oft 300,00 – 500,00€ zu zahlen sind, lohnt sich das Geschäftsmodell.

Nachdem der Trojaner erkannt wurde, kann mit der eigentlichen Arbeit begonnen werden. Allen voran die Fragen: Können die Dateien entschlüsselt werden? Falls dem so ist, empfiehlt die Website direkt die Anlaufstellen. Bevor Sie Dateien hochladen, müssen Sie der Verordnung für die Datenerfassung zustimmen. Web Apps wie ID Ransomware oder NoMoreRansom vereinfachen es, in Erfahrung zu bringen mit welchem Gegner man es zu tun hat.

Am Ende kann es aber auch passieren, dass die Websites einem die Hiobsbotschaft überbringen, dass es bei dem Trojaner keine Möglichkeit gibt zur kostenlosen Entschlüsselung. Dann hilft nur noch ein Backup. Hat man aber das Glück mit einem blauen Auge davon zu kommen und seine Daten kostenlos zu entschlüsseln, dann sollte man daraus trotzdem eine Konsequenz ziehen. Die Reinigung des Systems sollte schnellstmöglich durchgeführt werden. Updates sollten installiert werden und der Umgang mit EMail-Anhängen überdacht werden. Die Healbox ist ein zuverlässiger Ransomware Schutz.


Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.


Foto des Autors

M.Sc. Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin einer von zwei Geschäftsführern der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.