Die letzten Tage wurden Entschlüsselungstools (Decryptoren) für die Fonix und Ziggy Ransomware veröffentlicht. Damit lassen sich mit dieser Ransomware verschlüsselte Dateien wieder entschlüsseln. Weiterhin hat die Avaddon Ransomware-Gruppe einen Bug in den Routinen behoben, so dass neu verschlüsselte Dateien nicht mehr mit freien Tools entschlüsselt werden können.
Anzeige
Fonix- Decryptor verfügbar
Bitdefender hat Anfang Februar 2021 ein kostenloses Entschlüsselungstool für Dateien, die mit Fonix und seinen Varianten verschlüsselt wurden, veröffentlich. Das Tool bietet Master-Schlüssel und eine Bare-Bones-Entschlüsselung mit der Möglichkeit, Dateien einzeln wiederherzustellen, heißt es in einer Mitteilung des Unternehmens.
Das infizierte PC-System benötigt für die Entschlüsselung lediglich einen Internetanschluss und eine lokal vorhandene cpriv.key-Datei. Nach erfolgten Download und Installation lassen sich betroffene Dateien einzeln entschlüsseln. Das Tool scannt, wenn gewünscht, das ganze System auf verschlüsselte Dateien.
Dringend wird das Aktivieren von „Backup files" empfohlen, um die Dateien für alle Fälle zu sichern. Über das Start-Tool beginnt der Anwender die Entschlüsselung. War der Versuch erfolgreich, sieht werden die Inhalte verschlüsselt und im Klartext angezeigt. Einen Bericht legt das Tool im temp%\BDRemovalTool-Ordner ab.
Nachdem die Anwender den erneut möglichen Zugriff auf die Inhalte überprüft haben, lassen sich alle verschlüsselten Dateien schnell gesammelt löschen. Dazu sucht der Benutzer nach der typischen Erweiterung. Eine Anleitung, weitere Informationen und das Entschlüsselgungstool als Download finden sich auf dieser Bitdefender-Seite.
Zum Hintergrund: Die Fonix-Malware-Familie, die auch als FonixCrypter oder Xinof bekannt ist, wurde zuerst im Juni 2020 beobachtet und war bis Ende Januar 2021 aktiv. Die Betreiber der Fonix Ransomware haben Ende Januar 2021 ihren Betrieb eingestellt und die Master-Key zum Entschlüsseln veröffentlicht. Mit dem Key und einem Tool können Opfer ihre Dateien kostenlos wiederherstellen. Die Kollegen hier hatten über dieses Thema berichtet.
Ziggy-Decryptor verfügbar
Emsisoft hat ebenfalls die Tage ein kostenloses Entschlüsselungstool für die Ziggy-Ransomware freigegeben. Ich bin über nachfolgenden Tweet auf diesen Sachverhalt gestoßen.
Auch in diesem Fall war es so, dass die Ziggy-Ransomware-Gruppe Anfang Februar 2021 über Telegram ankündigte, dass sie ihren Ransomware-Betrieb einstellen und die Entschlüsselungsschlüssel der Opfer freigeben würde. Der vorzeitige Rückzug der Gruppe war offenbar durch Schuldgefühle und Angst vor rechtlichen Konsequenzen motiviert.
Gegenüber BleepingComputer sagte ein Administrator der Ziggy-Gruppe, dass sie sich wegen ihrer Handlungen schuldig fühlten und Bedenken wegen der weltweiten Bemühungen der Strafverfolgungsbehörden äußerten, die kürzlich Anklage gegen Emotet- und Netwalker-Mitglieder erhoben haben.
Anzeige
Nach dieser Ankündigung veröffentlichte der Administrator der Ziggy-Ransomware eine SQL-Datei mit 922 Entschlüsselungsschlüsseln, von denen 340 eindeutige IDs sind. Der Sicherheitsanbieter Emsisoft kann bestätigen, dass die Schlüssel legitim sind und hat auf dieser Webseite das Entschlüsselungstool und weitere Informationen bereitgestellt.
Avaddon-Ransomware-Entwickler fixen Schwachstelle
In älteren Versionen der Avaddon-Ransomware gab es eine Schwachstelle, so dass kostenlose Entschlüsselungstools die Dateien wiederherstellen konnten. Die Entwickler der Avaddon-Ransomware haben diesen Bug wohl behoben, wie ich bei Bleeping Computer lese. Die Hacker wurden wohl durch Veröffentlichungen auf den Bug aufmerksam und haben reagiert. Das kostenlose Entschlüsselungstool funktioniert also nicht mehr.
2015
