Cryptolocker: Entschlüsselungstool ab sofort verfügbar

SicherheitVirus
Cryptolocker Bitcoin (Bild: F-Secure)

Es heißt DecryptCryptolocker und arbeitet auf Basis der von Fox-IT gewonnenen öffentlichen Schlüssel der Kriminellen. Betroffene Nutzer reichen einfach eine durch die Malware chiffrierte Datei ein. Dadurch wird der Private Key ermittelt. Das Tool funktioniert allerdings nicht für alle Varianten.

Der US-Sicherheitsanbieter FireEye und sein niederländisches Pendant Fox-IT haben gemeinsam DecryptCryptolocker vorgestellt. Hierbei handelt es sich um ein kostenloses Online-Tool, das Dateien wiederherstellen kann, die von der Schadsoftware Cryptolocker verschlüsselt wurden. Auf diese Weise versuchen sie, den Kriminellen hinter Cryptolocker die Geschäftsgrundlage zu entziehen. Für die Herausgabe des privaten Schlüssels verlangen diese bisher zwischen 0,5 und 3 Bitcoin (rund 200 bis 1200 Euro).

Cryptolocker_Bitcoin
Cryptolocker verlangt hier für die Herausgabe des Private Key 0,5 Bitcoin (Screenshot: F-Secure).

Cryptolocker war die wohl meistdiskutierte Malware des Jahres 2013. Sie verbreitet sich im Wesentlichen über Spam, der vorgibt, von Banken zu stammen. Ein Dokument im Anhang enthält schließlich den Schadcode. Nach der Installation chiffriert Cryptolocker interne und externe Speichermedien, USB-Laufwerke sowie NAS-Systeme. Der Nutzer erhält eine Frist von 72 Stunden, um das Lösegeld in Bitcoin zu bezahlen. Für die genutzte Verschlüsselung, die nach dem aktuellen Stand der Technik arbeitet, gab es bislang kein Gegenmittel. Wer nicht zahlte, verlor seine Daten in der Mehrzahl der Fälle dauerhaft.

Es wird geschätzt, dass rund 500.000 von Cryptolocker Betroffene auf ein Werkzeug wie das jetzt vorgestellte DecryptCryptolocker gewartet haben. Gegenüber dem Forscher Brian Krebs erklärten die beteiligten Sicherheitsanbieter, dass das Entschlüsselungstool öffentliche Schlüssel verwendet, an die Fox-IT im vergangenen Monat kam, als die Autoren von Cryptolocker sich einer Verhaftung entzogen.

Um den entsprechenden Private Key zu erhalten, reichen Cryptolocker-Opfer einfach eine möglichst nicht vertrauliche, verschlüsselte Datei aus ihrem System bei dem Onlinedienst ein. Er steht weltweit zur Verfügung und erfordert weder eine Registrierung noch eine Angabe von Kontaktdaten. Allerdings funktioniert die Entschlüsselung nicht mit allen Varianten des Schädlings.

Letzten Monat konnte die National Crime Agency (NCA) im Zuge von “Operation Tovar” die Cryptolocker-Infrastruktur zeitweise lahmlegen. Die US-Bundespolizei FBI erwirkte parallel einen Haftbefehl gegen Ewgenij Michailowitsch Bogatschew, den russischen Staatsbürger, der mutmaßlich das für die Verbreitung von Cryptolocker eingesetzte Botnetz GameOver ZeuS betreibt. Zuletzt wurden NAS-System von Synology von einer Cryptolocker-Variante namens Synolocker befallen.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen