{"id":262484,"date":"2022-02-11T02:01:09","date_gmt":"2022-02-11T01:01:09","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=262484"},"modified":"2022-08-04T22:55:07","modified_gmt":"2022-08-04T20:55:07","slug":"emsisoft-verffentlicht-decryptor-fr-maze-egregor-und-sekhmet-ransomware","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/02\/11\/emsisoft-verffentlicht-decryptor-fr-maze-egregor-und-sekhmet-ransomware\/","title":{"rendered":"Emsisoft veröffentlicht Decryptor für Maze, Egregor und Sekhmet Ransomware"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Sicherheitsanbieter Emsisoft hat einen Decryptor f\u00fcr Opfer der Ransomware Maze, Egregor und Sekhmet ver\u00f6ffentlicht. Damit k\u00f6nnen durch diese Ransomware verschl\u00fcsselte Dateien wieder restauriert werden. Der Decryptor wurde m\u00f6glich, nachdem ein Mitglied aus den \"Entwicklerkreisen\" den Masterschl\u00fcssel gepostet und das Exit der Ransomware-Gruppen bekannt gegeben hat. Hier ein paar Informationen dazu.<\/p>\n

<\/p>\n

\"\"Maze, Egregor und Sekhmet sind Ransomware-Gruppen, deren Schadsoftware zahlreiche Opfer gefunden und deren Festplatten verschl\u00fcsselt hat. Bei der Maze-Ransomware sind erste F\u00e4lle aus dem Mai 2019 bekannt. Die Gruppe verlegte sich schnell auf L\u00f6segelderpressung, wobei einmal die Entschl\u00fcsselung angeboten, aber auch die Ver\u00f6ffentlichung vorher erbeuteter Daten angedroht wurde. Nachdem die Gruppe Maze im Oktober 2020 die Aufl\u00f6sung angek\u00fcndigt hatte, benannten sie sich im September in Egregor um. Die Gruppe verschwand sp\u00e4ter, nachdem Mitglieder in der Ukraine verhaftet worden waren (Mitglieder der Egregor-Ransomware-Gang verhaftet<\/a>). Die Entwickler der Ransomware scheinen sich nun aufgel\u00f6st zu haben.<\/p>\n

Entwickler ver\u00f6ffentlicht Master-Key<\/h2>\n

Mir war die Information, dass die Schl\u00fcssel f\u00fcr die Ransomware-Familien Maze, Egregor und Sekhmet ver\u00f6ffentlicht wurde, aus nachfolgendem Tweet<\/a> vom 9. Februar 2022 bekannt. Der Twitter-Nutzer erw\u00e4hnt, dass dies ein geplantes Leck sei, denn der betreffende Entwickler k\u00fcndigte in einem Untergrundforum auch an, dass keiner aus dem Team erneut im Bereich der Cyber-Kriminalit\u00e4t aktiv werden m\u00f6chte – es ist also die Ank\u00fcndigung, dass das Team sich aufl\u00f6st und in Ruhestand geht.<\/p>\n

\"Maze,<\/a><\/p>\n

Zudem teilte der Maze-Entwickler den Quellcode f\u00fcr den M0yv \"modularen x86\/x64-Dateiinfektor\", der in freier Wildbahn als Win64\/Expiro-Virus erkannt wird. Die Todo-Datei zeigt, dass das letzte Update am 19. Januar 2022 erfolgte. Ich habe die Information aber noch zur\u00fcckgehalten, da unklar war, ob die Schl\u00fcssel echt sind. Zudem wurde der Beitrag, laut Lawrence Abrams von Bleeping Computer, im Untergrundforum zeitweise ausgeblendet, da er Malware enthielt (wohl den Dateiinfektor). Aber die Schl\u00fcssel sind wohl echt gewesen.<\/p>\n

Emsisoft ver\u00f6ffentlicht Decryptor<\/h2>\n

Kurze Zeit sp\u00e4ter hat der Sicherheitsanbieter Emsisoft einen Decryptor f\u00fcr die drei Ransomware-Familien Maze, Egregor und Sekhmet ver\u00f6ffentlicht und das in nachfolgendem Tweet<\/a> bekannt gegeben. Hinweise zum Decryptor, samt Download und zur Ransomware finden sich hier<\/a>.<\/p>\n

\"Maze,<\/a><\/p>\n

Damit k\u00f6nnen Opfer dieser Ransomware-Familien versuchen, Kopien der verschl\u00fcsselten Dateien ohne Zahlung von L\u00f6segeld zu entschl\u00fcsseln. Eine PDF-Anleitung zur Handhabung des Decrptors ist hier<\/a> zu finden. Die Kollegen von Bleeping Computer haben das Ganze direkt nach den obigen Ank\u00fcndigungen auf Twitter verfolgt und schlie\u00dflich diesen Artikel<\/a> mit weiteren Details ver\u00f6ffentlicht.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nEgregor Ransomware-Befall bei Randstad-Zeitarbeit<\/a>
\nMitglieder der Egregor-Ransomware-Gang verhaftet<\/a>
\nThreat Update: Egregor weiterhin sehr aktiv<\/a>
\nAnatomie eines (Maze-)Ransomware-Angriffs<\/a>
\nMaze-Gruppe leakt Daten von \u00d6lfirma (Berkine Group)<\/a>
\nPhishing-Mail mit Ransomware Maze in Steuerbescheid.doc<\/a><\/p>\n

Klinikum F\u00fcrth wegen Trojaner offline<\/a>
\nRansomware-Befall in Uniklinik von Brno (Br\u00fcnn Tschechien)<\/a>
\nFresenius vermutlich Opfer eines Snake-Ransomware-Angriffs<\/a>
\nFAQ: Reagieren auf eine Emotet-Infektion<\/a>
\nDie IT-Notfallkarte des BSI f\u00fcr KMUs<\/a>
\nDeutsche Unternehmen vor potenziellem Cyber-Desaster?<\/a>
\nSicherheitsl\u00fccken im deutschen Gesundheitsdatennetz<\/a>
\nUnterminieren F\u00fchrungskr\u00e4fte die IT-Sicherheit?<\/a>
\nFinanzsektor: Vorletzter Platz bei Anwendungssicherheit<\/a>
\nNeues zum Ransomware-Angriff auf Ludwigshafener Versorger<\/a>
\nMehr zum Malware-Befall im Klinikum F\u00fcrstenfeldbruck<\/a>
\nDeutsche Unternehmen h\u00e4ufig Opfer von Ransomware \u2013 Teil 1<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Sicherheitsanbieter Emsisoft hat einen Decryptor f\u00fcr Opfer der Ransomware Maze, Egregor und Sekhmet ver\u00f6ffentlicht. Damit k\u00f6nnen durch diese Ransomware verschl\u00fcsselte Dateien wieder restauriert werden. Der Decryptor wurde m\u00f6glich, nachdem ein Mitglied aus den \"Entwicklerkreisen\" den Masterschl\u00fcssel gepostet und das Exit … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4715,4328,4351],"class_list":["post-262484","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-ransomware","tag-sicherheit","tag-tipp"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/262484","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=262484"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/262484\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=262484"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=262484"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=262484"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}