Emsisoft veröffentlicht Decryptor für Maze, Egregor und Sekhmet Ransomware

[English]Sicherheitsanbieter Emsisoft hat einen Decryptor für Opfer der Ransomware Maze, Egregor und Sekhmet veröffentlicht. Damit können durch diese Ransomware verschlüsselte Dateien wieder restauriert werden. Der Decryptor wurde möglich, nachdem ein Mitglied aus den "Entwicklerkreisen" den Masterschlüssel gepostet und das Exit der Ransomware-Gruppen bekannt gegeben hat. Hier ein paar Informationen dazu.

Maze, Egregor und Sekhmet sind Ransomware-Gruppen, deren Schadsoftware zahlreiche Opfer gefunden und deren Festplatten verschlüsselt hat. Bei der Maze-Ransomware sind erste Fälle aus dem Mai 2019 bekannt. Die Gruppe verlegte sich schnell auf Lösegelderpressung, wobei einmal die Entschlüsselung angeboten, aber auch die Veröffentlichung vorher erbeuteter Daten angedroht wurde. Nachdem die Gruppe Maze im Oktober 2020 die Auflösung angekündigt hatte, benannten sie sich im September in Egregor um. Die Gruppe verschwand später, nachdem Mitglieder in der Ukraine verhaftet worden waren (Mitglieder der Egregor-Ransomware-Gang verhaftet). Die Entwickler der Ransomware scheinen sich nun aufgelöst zu haben.

Entwickler veröffentlicht Master-Key

Mir war die Information, dass die Schlüssel für die Ransomware-Familien Maze, Egregor und Sekhmet veröffentlicht wurde, aus nachfolgendem Tweet vom 9. Februar 2022 bekannt. Der Twitter-Nutzer erwähnt, dass dies ein geplantes Leck sei, denn der betreffende Entwickler kündigte in einem Untergrundforum auch an, dass keiner aus dem Team erneut im Bereich der Cyber-Kriminalität aktiv werden möchte – es ist also die Ankündigung, dass das Team sich auflöst und in Ruhestand geht.

Zudem teilte der Maze-Entwickler den Quellcode für den M0yv "modularen x86/x64-Dateiinfektor", der in freier Wildbahn als Win64/Expiro-Virus erkannt wird. Die Todo-Datei zeigt, dass das letzte Update am 19. Januar 2022 erfolgte. Ich habe die Information aber noch zurückgehalten, da unklar war, ob die Schlüssel echt sind. Zudem wurde der Beitrag, laut Lawrence Abrams von Bleeping Computer, im Untergrundforum zeitweise ausgeblendet, da er Malware enthielt (wohl den Dateiinfektor). Aber die Schlüssel sind wohl echt gewesen.

Emsisoft veröffentlicht Decryptor

Kurze Zeit später hat der Sicherheitsanbieter Emsisoft einen Decryptor für die drei Ransomware-Familien Maze, Egregor und Sekhmet veröffentlicht und das in nachfolgendem Tweet bekannt gegeben. Hinweise zum Decryptor, samt Download und zur Ransomware finden sich hier.

Damit können Opfer dieser Ransomware-Familien versuchen, Kopien der verschlüsselten Dateien ohne Zahlung von Lösegeld zu entschlüsseln. Eine PDF-Anleitung zur Handhabung des Decrptors ist hier zu finden. Die Kollegen von Bleeping Computer haben das Ganze direkt nach den obigen Ankündigungen auf Twitter verfolgt und schließlich diesen Artikel mit weiteren Details veröffentlicht.

Ähnliche Artikel:
Egregor Ransomware-Befall bei Randstad-Zeitarbeit
Mitglieder der Egregor-Ransomware-Gang verhaftet
Threat Update: Egregor weiterhin sehr aktiv
Anatomie eines (Maze-)Ransomware-Angriffs
Maze-Gruppe leakt Daten von Ölfirma (Berkine Group)
Phishing-Mail mit Ransomware Maze in Steuerbescheid.doc

Klinikum Fürth wegen Trojaner offline
Ransomware-Befall in Uniklinik von Brno (Brünn Tschechien)
Fresenius vermutlich Opfer eines Snake-Ransomware-Angriffs
FAQ: Reagieren auf eine Emotet-Infektion
Die IT-Notfallkarte des BSI für KMUs
Deutsche Unternehmen vor potenziellem Cyber-Desaster?
Sicherheitslücken im deutschen Gesundheitsdatennetz
Unterminieren Führungskräfte die IT-Sicherheit?
Finanzsektor: Vorletzter Platz bei Anwendungssicherheit
Neues zum Ransomware-Angriff auf Ludwigshafener Versorger
Mehr zum Malware-Befall im Klinikum Fürstenfeldbruck
Deutsche Unternehmen häufig Opfer von Ransomware – Teil 1