Master-Keys für Ransomware Crysis veröffentlicht

Unbekannte haben auf Pastebin 200 Master-Keys der Ransomware Crysis veröffentlicht, wie Bleeping Computer berichtet. Mit ihrer Hilfe lassen sich Dateien retten, die zuvor von der Erpressersoftware verschlüsselt wurde – und zwar ohne Zahlung eines Lösegelds. Sie erlauben zudem die Entwicklung von Entschlüsselungstools, die den Vorgang für Nutzer vereinfachen, wie es jetzt der Sicherheitsanbieter Eset gemacht hat.

Es ist allerdings nicht das erste Mal, dass Generalschlüssel für Crysis-Varianten aufgetaucht sind. Laut Eset ist es sogar bereits der dritte frei verfügbare Schlüsselsatz. In einem Punkt unterscheiden sie sich jedoch von älteren Master-Keys: die neuen Schlüssel sind auch in der Lage, Dateien zu entschlüsseln, die die Endungen .wallett und .onion tragen.

„Das wurde jüngst zu einer Gewohnheit der Crysis-Hintermänner – da es bereits das dritte Mal ist, dass auf diese Art Schlüssel veröffentlicht wurden“, erklärten Forscher von Eset. „Nachdem der letzte Satz von Entschlüsselungscodes veröffentlicht wurde, haben unserer Systeme mehr als 10.000 Crysis-Ransomware-Angriffe erkannt.“

Warum die Schlüssel gerade jetzt freigegeben wurden, ist unklar. Möglicherweise haben alle Opfer, die bezahlen wollten, die Lösegeldforderungen der Hintermänner erfüllt, sodass sich diese nun aus der laufenden Kampagne zurückziehen. Zumal jeder Nutzer, der nun mit einem blauen Auge davonkommt, künftig wieder ein potentielles Opfer ist.

In einigen Fällen müssen Opfer von Erpressersoftware allerdings gar nicht warten, bis die Master-Keys für ihre Ransomware veröffentlicht werden. Durch Fehler der Hacker sind Sicherheitsforscher manchmal in der Lage, diese Schlüssel zu rekonstruieren und daraus Entschlüsselungswerkzeuge zu entwickeln.

Dies gelang in der vergangenen Woche auch für die Ransomware WannyCry, die als die Erpressersoftware mit der bisher größten Opferzahl angesehen wird. Allerdings ist eine Entschlüsselung an bestimmte Voraussetzungen gebunden und nicht in jedem Fall möglich. Unter anderem darf ein infiziertes System nach der Infektion mit WannaCry nicht neu gestartet werden, da die zur Entschlüsselung benötigten Informationen im Arbeitsspeicher hinterlegt sind und bei einem Neustart verlorengehen.

[mit Material von Charlie Osborne, ZDNet.com]