[English]Cyber-Kriminelle bieten vorgeblich ein Entschlüsselungstool für durch Ransomware verschlüsselte Dateien an. Wer das Tool STOP Divu Ransomware-Decryptor einsetzt, dem werden die verschlüsselten Dateien ein zweites Mal verschlüsselt.
Anzeige
Wer durch Ransomware betroffen ist und verschlüsselte Dateien auf seinen Netzlaufwerken oder Festplatten vorfindet, sucht möglicherweise nach Decryptoren, um die Dateien wieder zu entschlüsseln. Das machen sich Cyber-Kriminelle zunutze. Die aktivste Ransomware nennt sich STOP Divu – Bleeping Computer hat im November 2019 diesen Artikel dazu veröffentlicht.
Fake STOP Divu Ransomware-Decryptor
Und für diese Ransomware haben Cyber-Kriminelle eine als Decryptor getarnte neue Ransomware ins Netz gestellt. Wer dieses Programm nutzt, kommt quasi vom Regen in die Traufe. Ich bin über nachfolgenden Tweet von Michael Gillespie auf den Sachverhalt gestoßen.
Hmm, someone released a decryptor for #STOP #Djvu?
Oh wait… it's more fucking #ransomware. Don't trust anything you find online saying it can decrypt Djvu unless it is from ME. This is just one example of the shaddy shit victims are falling for when they don't believe me. pic.twitter.com/eWjtB8UpJe— Michael Gillespie (@demonslay335) June 5, 2020
Der Decryptor STOP Divu ist eine Ransomware, die die bereits verschlüsselten Dateien ein weiteres Mal verschlüsselt. Dann besteht eigentlich keine Chance, jemals wieder an die Originaldateien heran zu kommen.
Fake ransomware decryptor double-encrypts desperate victims' files – @LawrenceAbramshttps://t.co/Kz8Tyg8bIf
— BleepingComputer (@BleepinComputer) June 6, 2020
Die Kollegen von Bleeping Computer haben es in obigem Tweet aufgegriffen und einige weitere Details in diesem Beitrag aufbereitet. Fazit aus dem Ganzen: Kein Lösegeld an die Erpresser zahlen – es ist nicht sicher, ob ein funktionierender Decryptor kommt und ob nicht vertrauliche Daten später geleaked werden. Und ein Entschlüsselungsprogramm sollte maximal von vertrauenswürdigen Sicherheitsforschern bezogen werden. Ergänzung: Heise hat nun diesen Beitrag zum Thema veröffentlicht.
Ein Decryptor von Emisoft
Ergänzung: Emisoft hat mich informiert, dass STOP die mit Abstand am weitesten verbreitete Ransomware ist und etwa die Hälfte aller Lösegeldvorfälle ausmacht. Emisoft hat im Oktober 2019 einen Entschlüsseler (Decryptor) für STOP veröffentlicht, der seitdem mehr als 900.000 Mal heruntergeladen wurde.
Weil so häufig noch diesem Entschlüsseler gesucht wird, bieten Kriminelle einen gefälschten STOP-Entschlüsseler, der die mit STOP verschlüsselten Dateien nicht entschlüsselt, sondern sie tatsächlich ein zweites Mal verschlüsselt. Diese Ransomware ist unter dem Namen Zorab bekannt (Details hier). Deshalb hat Emisoft nun einen Entschlüsseler für Zorab erstellt, der hier erhältlich ist.
Anzeige
Um die verschlüsselten Daten zurückzubekommen, müssen die Opfer zuerst den Zorab-Entschlüsseler und dann den STOP-Entschlüsseler laufen lassen. Um die Sache noch komplizierter zu machen, funktioniert der STOP-Entschlüsseler nur für Dateien, die mit älteren Varianten verschlüsselt wurden, so dass in einigen Fällen immer noch für einen Schlüssel bezahlt werden muss, um die Daten vollständig wiederherzustellen. Danke an Emisoft für diesen Hinweis.
2015
