Fake Ransomware-Decryptor verschlüsselt Dateien neu

[English]Cyber-Kriminelle bieten vorgeblich ein Entschlüsselungstool für durch Ransomware verschlüsselte Dateien an. Wer das Tool STOP Divu Ransomware-Decryptor einsetzt, dem werden die verschlüsselten Dateien ein zweites Mal verschlüsselt.


Anzeige

Wer durch Ransomware betroffen ist und verschlüsselte Dateien auf seinen Netzlaufwerken oder Festplatten vorfindet, sucht möglicherweise nach Decryptoren, um die Dateien wieder zu entschlüsseln. Das machen sich Cyber-Kriminelle zunutze. Die aktivste Ransomware nennt sich STOP Divu – Bleeping Computer hat im November 2019 diesen Artikel dazu veröffentlicht.

Fake STOP Divu Ransomware-Decryptor

Und für diese Ransomware haben Cyber-Kriminelle eine als Decryptor getarnte neue Ransomware ins Netz gestellt. Wer dieses Programm nutzt, kommt quasi vom Regen in die Traufe. Ich bin über nachfolgenden Tweet von Michael Gillespie auf den Sachverhalt gestoßen.

Der Decryptor STOP Divu ist eine Ransomware, die die bereits verschlüsselten Dateien ein weiteres Mal verschlüsselt. Dann besteht eigentlich keine Chance, jemals wieder an die Originaldateien heran zu kommen.


Anzeige

Die Kollegen von Bleeping Computer haben es in obigem Tweet aufgegriffen und einige weitere Details in diesem Beitrag aufbereitet. Fazit aus dem Ganzen: Kein Lösegeld an die Erpresser zahlen – es ist nicht sicher, ob ein funktionierender Decryptor kommt und ob nicht vertrauliche Daten später geleaked werden. Und ein Entschlüsselungsprogramm sollte maximal von vertrauenswürdigen Sicherheitsforschern bezogen werden. Ergänzung: Heise hat nun diesen Beitrag zum Thema veröffentlicht.

Ein Decryptor von Emisoft

Ergänzung: Emisoft hat mich informiert, dass STOP die mit Abstand am weitesten verbreitete Ransomware ist und etwa die Hälfte aller Lösegeldvorfälle ausmacht. Emisoft hat im Oktober 2019 einen Entschlüsseler (Decryptor) für STOP veröffentlicht, der seitdem mehr als 900.000 Mal heruntergeladen wurde.

Weil so häufig noch diesem Entschlüsseler gesucht wird, bieten Kriminelle einen gefälschten STOP-Entschlüsseler, der die mit STOP verschlüsselten Dateien nicht entschlüsselt, sondern sie tatsächlich ein zweites Mal verschlüsselt. Diese Ransomware ist unter dem Namen Zorab bekannt (Details hier). Deshalb hat Emisoft nun einen Entschlüsseler für Zorab erstellt, der hier erhältlich ist.

Um die verschlüsselten Daten zurückzubekommen, müssen die Opfer zuerst den Zorab-Entschlüsseler und dann den STOP-Entschlüsseler laufen lassen. Um die Sache noch komplizierter zu machen, funktioniert der STOP-Entschlüsseler nur für Dateien, die mit älteren Varianten verschlüsselt wurden, so dass in einigen Fällen immer noch für einen Schlüssel bezahlt werden muss, um die Daten vollständig wiederherzustellen. Danke an Emisoft für diesen Hinweis.


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.