Projekt NoMoreRansom.org

Entschlüsselungstools gegen Ransomware

| Redakteur: Peter Schmitz

NoMoreRansom.org enthält neben zahlreicher Keys auch sieben Tools für verschiedene Formen von Ransomware. Neben WildFire sind das Teslacrypt, CoinVault, Rannoh, Rakhni, Chimera und Shade.
NoMoreRansom.org enthält neben zahlreicher Keys auch sieben Tools für verschiedene Formen von Ransomware. Neben WildFire sind das Teslacrypt, CoinVault, Rannoh, Rakhni, Chimera und Shade. (Bild: NoMoreRansom.org)

Durch Ransomware verschlüsselte Dateien zurückzubekommen, ohne das Lösegeld zu bezahlen ist das Ziel des NoMoreRansom.org Projekts. Die Kooperation der niederländischen Polizei, Europol, Intel Security und Kaspersky Lab kann bereits erste Erfolge vorweisen.

Das im Juli gestartete Projekt NoMoreRansom.org ist eine Kooperation der niederländischen Polizei, Europol, Intel Security und Kaspersky Lab. Das Projekt zum Kampf gegen Ransomware (Erpressungs-Software) stellt Entschlüsselungstools für verschiedene Ransomware-Typen bereit. Außerdem informiert es über Ransomware und Maßnahmen, die vor einer Infektionen schützen.

Jetzt hat Kaspersky Lab die Polizei und Staatsanwaltschaft in den Niederlanden dabei unterstützt, die Command-and-Control-Server der Ransomware ‚WildFire‘ zu lokalisieren. Nachdem die Server abgeschaltet wurden, konnten fast 1.600 Schlüssel sichergestellt werden. Kaspersky hat zusammen mit Intel Security Entschlüsselungstools entwickelt, die dabei helfen, verschlüsselte Daten zurückzubekommen – ohne Lösegeld zu zahlen.

Die Ransomware WildFire scheint sich weitestgehend in den Niederlanden verbreitet zu haben, 90 Prozent der Infektionen wurden in den vergangenen Wochen dort registriert. Das Infektionsmuster von WildFire ähnelt dem der Schädlinge von ‚Zyklon‘ und ‚GNLocker‘: eine Spam-Mail, die angeblich von einem Speditionsunternehmen stammt, wird von den Servern der Hacker verschickt. Diese E-Mail teilt mit, dass eine Lieferung nicht erfolgen konnte. Um einen neuen Liefertermin zu vereinbaren, soll der Empfänger das angehängte Word-Dokument öffnen.

Sobald dieses geöffnet wurde und Makros auf dem betroffenen Rechner aktiviert sind, wird WildFire heruntergeladen und installiert. Die auf dem Computer gespeicherten Dateien werden verschlüsselt. Danach stellen die Hacker eine Lösegeldforderung in Höhe von mindestens 300 US-Dollar, die sich bei Nichtzahlung innerhalb von acht Tagen verdreifacht.

„Die Beschlagnahmung der Entschlüsselungs-Keys für WildFire zeigt, dass Cyberkriminalität, vor allem Ransomware, am besten durch Kooperationen bekämpft werden kann“, so John Fokker, Digital Team Coordinator der Dutch National High Tech Crime Unit (NHTCU). „Die niederländische Polizei ist bemüht, den Betroffenen zu helfen, indem sie Fälle von Ransomware prüft, die kriminelle Infrastruktur lahmlegt und Schlüssel zur Entschlüsselung verbreitet. Regelmäßige Back-ups persönlicher Dateien sind dennoch die beste Strategie gegen Ransomware.“

„Es ist von großer Wichtigkeit, dass sich mehr Partner aus so vielen unterschiedlichen Bereichen wie möglich zusammentun, um dieser Form von Ransomware mit noch mehr Kraft entgegenzutreten“, kommentiert Jornt van der Wiel, Sicherheitsexperte des Global Research and Analysis Team bei Kaspersky Lab. „Wir machen gute Fortschritte, stehen aber noch am Anfang. Durch enge Kooperationen können wir viel mehr erreichen.“

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44242434 / Malware)