Entschlüsselungsprogramm für Ransomware
IsulTix Blog

Entschlüsselungsprogramm für Ransomware

Warum Sie besser kein Entschlüsselungstool nutzen sollten


Der Schaden ist passiert: Ransomware hat Ihr System befallen, nichts geht mehr. Ein Entschlüsselungsprogramm aus dem Internet verspricht schnelle Hilfe. Allerdings sollten Sie sich besser nicht auf seine Dienste verlassen.

Wir erklären, was ein Entschlüsselungsprogramm ist und warum Sie die Finger davon lassen sollten.

Zu sehen ist eine Grafik, in der nach dem Befall von Ransomware das Lösegeld an den Erpresser übergibt. Ein Entschlüsselungsprogramm gibt es in diesem Fall nicht. Bild: Pixabay/mohamed Hassan
Ransomware legt das System lahm? Ein Entschlüsselungsprogramm hilft leider nicht immer. Bild: Pixabay/mohamed Hassan

Wie infiziert man sich mit Ransomware?

Es ist schnell passiert: Ihr System ist mit Ransomware infiziert. Aber wie konnte das passieren? Eine von Cyberkriminellen besonders gern genutzte Infektionsmethode ist das Versenden von E-Mails mit manipulierten Anhängen. Über PDFs, Word- oder Excel-Dokumente schleusen sie die Schadsoftware auf dem System des Empfängers ein – sofern dieser beispielsweise der Aufforderung folgt, ein Makro zu installieren, um den Dateiinhalt ansehen zu können. Eines der jüngsten Beispiele dafür sind angebliche 1&1-Mails, die die Ransomware Hakbit im Gepäck haben.

Auch das sogenannte Malvertising ist bei Internetkriminellen beliebt. Dabei versteckt sich ein Erpressertrojaner hinter Werbeanzeigen auf Internetseiten. Der Klick darauf öffnet eine Webseite, die das Gerät dann mit der Schadsoftware infiziert. Noch schlimmer: Inzwischen kommen oft auch unsichtbare Webseiten-Elemente zum Einsatz, in denen der Download vom Benutzer unbemerkt abläuft.

Einmal im System, beginnt die Ransomware, die Dateien zu verschlüsseln. Es folgt die Aufforderung zur Zahlung von Lösegeld, meist in Form von Bitcoins. Warum Sie dieser Aufforderung nicht folgen sollten, lesen Sie in unserem Beitrag Lösegeld zahlen? Keine gute Idee!.

Entschlüsselungsprogramm verspricht schnelle Lösung

Wenn ein Verschlüsselungstrojaner einen Rechner oder gar ein ganzes Netzwerk lahmlegt, ist das für Unternehmen und Einrichtungen gleichermaßen ein gewaltiges Problem. Nicht nur, weil Arbeitsprozesse zum Erliegen kommen, sondern auch, weil die DSGVO hier ein Wörtchen mitzureden hat. Meistens ist der Befall durch Ransomware nämlich meldepflichtig.

Denn: Zu den IT-Schutzzielen der DSGVO gehört auch die Verfügbarkeit von Daten – und die wird durch einen Ransomware-Angriff eingeschränkt. Es liegt nach Interpretation der DSGVO also eine Datenschutzverletzung vor. Das wiederum kann ein Risiko für betroffenen Personen bedeuten. Bestes Beispiel dafür ist eine Arztpraxis. Stehen hier wichtige Gesundheitsdaten eines Patienten nicht zur Verfügung, besteht Gefahr für die Behandlung.

Es gilt also, schnell zu reagieren und das befallene System vom Erpressertrojaner zu befreien. Eine schnelle Lösung versprechen Entschlüsselungsprogramme aus dem Internet.

Wettrennen zwischen Forschern und Kriminellen

Eines vorweg: Diverse Entschlüsselungstools gibt es tatsächlich. Sicherheitsforscher befinden sich in einem ständigen Wettlauf mit den Cyberkriminellen. Sie versuchen, schnellstmöglich entsprechende Entschlüsseler für neue Ransomware zu entwickeln, was ihnen auch immer wieder gelingt. Auf der anderen Seite entwickeln die Kriminellen ihre Schadsoftware so weiter, dass die Entschlüsselungstools nicht mehr greifen. Und schon sind die Forscher wieder am Zug.

Inzwischen haben sich die Forscher sogar mit Polizeibehörden, darunter Europol, zusammengeschlossen, um der Bedrohung durch Ransomware besser begegnen zu können. Auf der Webseite nomoreransom.orgveröffentlichen sie die bereits entwickelten Entschlüsseler. Sollten Sie sich einen Erpressertrojaner eingefangen haben, könnten Sie auf dieser Seite fündig werden.

Wichtig ist: Sollten Sie sich selbst an eine Entschlüsselung Ihrer Daten wagen, achten Sie auf der Seriosität der Quelle des Entschlüsselungstools! Ansonsten laufen Sie Gefahr, alles nur noch schlimmer zu machen.

Zu sehen ist eine Grafik, in der eine Figur einen Schlüssel reicht. Der Schlüssel steht symbolisch für eine Entschlüsselungsprogramm. Bild: Pixabay/Peggy und Marco Lachmann-Anke
Die Entschlüsselung für Ransomware auf dem Serviertablett? Eher unwahrscheinlich. Bild: Pixabay/Peggy und Marco Lachmann-Anke

Zorab-Ransomware tarnt sich als Entschlüsselungsprogramm

Das kann zum Beispiel passieren, wenn Sie einen Entschlüsseler für die Ransomware STOP/Djvu suchen. Diese verschlüsselt die Dateien ihrer Opfer und weist ihnen je nach Version eine Erweiterung zu (.djvu, .djvus, .djvuu, .tfunde und .uudjvu). Das berichtet Kaspersky. Es gibt tatsächlich ein anerkanntes Entschlüsselungstool von Emisoft. Allerdings ist es gegen neuere Versionen von STOP/Djvo machtlos.

Bei dem Tool, das aktuell per Link in einigen Foren verbreitet wird, handelt es sich  dagegen nicht um einen Entschlüsseler. Vielmehr tarnt sich hier die Ransomware Zorab als Entschlüsselungsprogramm. Anstatt die bereits verschlüsselten Daten zu entschlüsseln, verschlüsselt sie sie erneut. Nutzen Sie dieses Programm, stehen sie am Ende noch schlechter dar als vorher.

Sie sollten sich folgendes bewusst machen: Dass anonyme Samariter ein Entschlüsselungsprogramm erstellen und veröffentlichen, ist eher unwahrscheinlich. Sie sollten sich daher nur auf vertrauenswürdige Portale verlassen – oder direkt auf die Hilfe eines Profis setzen.

Experte hilft bei Entschlüsselung

So einen Profi finden Sie auch unter dem IsulTix Team. Er hilft Ihnen bei der Suche nach einem sicheren Entschlüsselungstool und führt die Entschlüsselung anschließend durch – sofern bereits ein passendes Tool existiert. Gibt es so ein Programm noch nicht, existiert in Ihrem Unternehmen hoffentlich ein lückenloses Backup, durch das sich die Daten – nach der Entfernung der Ransomware – vergleichsweise einfach wieder aufspielen lassen. Ansonsten haben Sie schlechte Karten.

Warten Sie nicht erst, bis das Kind in den Brunnen gefallen ist, sondern sorgen Sie rechtzeitig dafür, dass Ransomware Ihrem Unternehmen nichts anhaben kann. Das erreichen Sie einerseits durch die Einführung des besagten Backups, andererseits dadurch, dass Ihre Mitarbeiter verdächtige Links und Dateien erst gar nicht öffnen. Dabei helfen spezielle Security-Awareness-Schulungen.

Unsere Experten vermitteln Ihnen gern eine solche Schulung und übernehmen zudem das Backup-Management für Ihr Unternehmen. Nehmen Sie Kontakt auf und lassen Sie sich unverbindlich informieren.