Ransomware geh\u00f6rt zu den gef\u00e4hrlichsten Bedrohungen derzeit: Die Verschl\u00fcsselungstrojaner verschl\u00fcsseln Daten und zur Entschl\u00fcsselung wird von den Cyberkriminellen oft ein hohes L\u00f6segeld gefordert. Ob die Daten dann wirklich entschl\u00fcsselt werden, steht in den Sternen. Um dem etwas entgegensetzen zu k\u00f6nnen, entwickeln Sicherheitsanbietende Tools zur Ransomware-Entschl\u00fcsselung. Diese Entschl\u00fcsselungstools schauen wir uns heute an und geben Ihnen einen \u00dcberblick \u00fcber die g\u00e4ngigsten Tools zur Ransomware Entschl\u00fcsselung.<\/p>\n
Seit die L\u00f6segelderpressung durch Cyberkriminelle immer weiter um sich greift, haben Sicherheitsanbietende Tools zur Ransomware-Entschl\u00fcsselung entwickelt. Leider gibt es nicht das eine Tool, mit dem sich s\u00e4mtliche Daten unabh\u00e4ngig von der verschl\u00fcsselnden Ransomware-Familie wiederherstellen lassen. Doch wenn Sie wissen, mit welchem Verschl\u00fcsselungstrojaner Sie angegriffen wurden, k\u00f6nnen Sie Ihre verschl\u00fcsselten Daten mithilfe der Decryption-Tools wom\u00f6glich wiederherstellen. Im Folgenden finden Sie eine Auswahl an Tools zur Ransomware-Entschl\u00fcsselung:<\/p>\n
Die Ransomware-Gang REvil besch\u00e4ftigte die IT-Welt schon einige Jahre, bevor sie geschnappt wurde; wir berichteten<\/a>. Die Cyberkriminellen widmen sich mittlerweile wahrscheinlich anderem, denn mit dem 13. Juli 2021 waren weder Infrastruktur noch Website der Cybergang erreichbar. Selbst zahlungswillige REvil-Opfer konnten ihre Daten nicht wiederherstellen. Die Zahl der Opfer war riesig \u2013 REvil vermietete ihr zwielichtiges Produkt mittels Ransomware-as-a-Service (RaaS) an andere Cyberkriminelle.<\/p>\n Damit Opfer der REvil-Ransomware ihre Daten entschl\u00fcsseln k\u00f6nnen, stellte der Sicherheitsanbieter Bitdefender im September 2021 ein kostenfreies Entschl\u00fcsselungstool<\/a> bereit. REvil-Opfer, deren Daten vor dem 13. Juli 2021 verschl\u00fcsselt wurden, k\u00f6nnen mithilfe des Entschl\u00fcsselungstools ihre Daten wiederherstellen.<\/p>\n Der Sicherheitsanbieter Avast unterst\u00fctzt die Opfer der Verschl\u00fcsselungstrojaner AtomSilo, Babuk sowie LockFile. Einem Blogbeitrag zufolge<\/a> sind sich die Ransomware-Familien LockFile und AtomSilo so \u00e4hnlich, dass das Tool zur Ransomware-Entschl\u00fcsselung in beiden F\u00e4llen helfen soll. Die Sicherheitsforschenden von Avast geben jedoch zu bedenken, dass dieses Tool Dateien nur dann entschl\u00fcsselt, wenn sie ein bekanntes Dateiformat besitzen. Dateien mit unbekannten oder propriet\u00e4ren Formaten bzw. ohne Dateiformat lassen sich mit dem Tool zur Ransomware-Entschl\u00fcsselung nicht wiederherstellen. Opfer, die mit der LockFile-Ransomware zu k\u00e4mpfen haben, m\u00fcssen mit weiteren Einschr\u00e4nkungen leben: Verschl\u00fcsselte .jpg- sowie .bmp-Dateien lassen sich nicht entschl\u00fcsseln.<\/p>\n Babuk \u2013 eine Ransomware, die seit Anfang 2021 verbreitet wird \u2013 hat es vorrangig auf Unternehmen abgesehen. Auch f\u00fcr diesen Verschl\u00fcsselungstrojaner stellt Avast ein Tool bereit<\/a>.<\/p>\n Den Sicherheitsforschenden von Emsisoft gelang die Entwicklung einer Entschl\u00fcsselungsfunktion f\u00fcr einige Varianten der BlackMatter-Ransomware. Opfern wurde in einem Blogbeitrag<\/a> angeboten, sich direkt an die Forschenden zu wenden, um Unterst\u00fctzung beim Wiederherstellen ihrer Daten zu bekommen. Das Emsisoft-Tool f\u00fcr die Ransomware-Entschl\u00fcsselung basiert auf einem Bug in den Verschl\u00fcsselungsroutinen des Trojaners. Leider ist dieser den Cyberkriminellen hinter BlackMatter ebenfalls aufgefallen, sodass diese den Fehler behoben haben und das Entschl\u00fcsselungstool nur bei der fehlerhaften Version wirksam werden kann.<\/p>\n BlackMatter ist \u2013 ebenfalls als RaaS-Modell \u2013 weiterhin aktiv. Als potenzielle Opfer werden vorrangig gro\u00dfe Unternehmen ins Visier genommen. Bei BlackMatter k\u00f6nnte es sich um einen direkten Nachfolger von DarkSide handeln; diese Ransomware war im Mai 2021 f\u00fcr den Ausfall der Colonial Pipeline in den USA verantwortlich.<\/p>\n Auch aus dem Hause AVG kommen einige Tools zur Ransomware-Entschl\u00fcsselung. Wieder sollten Sie wissen, welche Ransomware Ihre Daten verschl\u00fcsselt hat. Konkret bietet AVG Entschl\u00fcsselungstools<\/a> f\u00fcr die folgenden Verschl\u00fcsselungstrojaner:<\/p>\n Beliebige Dateien, die mit der BlackByte-Ransomware verschl\u00fcsselt wurden, lassen sich mit dem Tool des SpiderLabs-Teams von Trustwave entschl\u00fcsseln. Daf\u00fcr haben die Forschenden Schw\u00e4chen im Schadcode gefunden und diese im Sinne der BlackByte-Opfer ausgenutzt. Da die BlackByte-Gang nicht so findig arbeitete wie beispielsweise die Konkurrenz von REvil, war es gar nicht so schwer, Schw\u00e4chen zu finden: Der Schadcode besitzt keine Funktion zum Exfiltrieren von Daten, sodass angedrohte Ver\u00f6ffentlichungen von Informationen nur hei\u00dfe Luft waren. Haben Sie Interesse an technischen Details zu BlackByte, k\u00f6nnen Sie Teil 1<\/a> und Teil 2<\/a> der Analyse von Trustwave lesen. Bei GitHub gibt es den BlackByte-Decryptor<\/a>.<\/p>\n Kaspersky h\u00e4lt es \u00e4hnlich wie AVG: Sie finden auf der Website von Kaspersky<\/a> verschiedene Decryptor f\u00fcr unterschiedliche Ransomware-Arten. Konkret kann Sie Kaspersky beim Entschl\u00fcsseln Ihrer Dateien unterst\u00fctzen, wenn Ihre Systeme von einer der folgenden Ransomware-Familien befallen wurden:<\/p>\n Auch ESET fokussiert sich nicht nur auf eine Ransomware-Familie, sondern m\u00f6chte m\u00f6glichst breitfl\u00e4chig unterst\u00fctzen. Daf\u00fcr werden auf der ESET-Website<\/a> Decryptor f\u00fcr u. a. Crysis, Mabezat.A, Simplocker oder TeslaCrypt kostenfrei zur Verf\u00fcgung gestellt.<\/p>\n Ransomware existiert bereits seit einigen Jahren \u2013 und wird uns wohl noch viele Jahre als ernst zu nehmende Gefahr begleiten. Doch den Machenschaften der Cyberkriminellen kann endlich etwas entgegengesetzt werden: Viele Sicherheitsforschende stellen Tools f\u00fcr die Ransomware-Entschl\u00fcsselung bereit. Neben den eben vorgestellten Tools gibt es auch Websites, die alle verf\u00fcgbaren Tools b\u00fcndeln: Auf bleib-virenfrei.de<\/a> finden Sie eine Tabelle mit Ransomware-Familien und entsprechenden Entschl\u00fcsselungstools. Die Macher:innen von NoMoreRansom.org<\/a> unterst\u00fctzen ebenfalls dabei, verschl\u00fcsselte Dateien wieder zu entschl\u00fcsseln. Es lohnt sich, beim Thema Ransomware auf dem Laufenden zu bleiben \u2013 so kennen Sie m\u00f6gliche Bedrohungen und k\u00f6nnen im Fall der F\u00e4lle reagieren. Daf\u00fcr empfehlen wir Ihnen insbesondere die Website des Bundesamts f\u00fcr Sicherheit in der Informationstechnik (BSI)<\/a>, auf der Neuerungen z\u00fcgig publiziert werden.<\/p>\nAvast Decryption Tools gegen AtomSilo, Babuk und LockFile<\/h3>\n
Emsisofts Tool f\u00fcr Ransomware-Entschl\u00fcsselung<\/h3>\n
AVG-Tool zur Ransomware-Entschl\u00fcsselung<\/h3>\n
\n
Trustwave nutzt Schw\u00e4chen im Schadcode<\/h3>\n
Kasperskys Tools zur Ransomware-Entschl\u00fcsselung<\/h3>\n
\n
ESET mit verschiedenen Decryptors<\/h3>\n
Ransomware Entschl\u00fcsselung: kostenfreie Entschl\u00fcsselungstools<\/h2>\n