Ein weiterer Free Ransomware-Entschlüsseler veröffentlicht

Ein weiterer Free Ransomware-Entschlüsseler veröffentlicht

Emsisoft hat ein kostenloses Tool auf den Markt gebracht, das Dateien entschlüsselt, die von einer Variante des Tycoon-Ransomware-Angriffs betroffen sind.

Das Malware-Labor Emsisoft hat am 4. Juni ein kostenloses Entschlüsselungsprogramm veröffentlicht. Das Tool ermöglicht Opfern die Wiederherstellung von Dateien, die durch Tycoon-Lösegeld-Attacken verschlüsselt wurden, ohne dass sie das Lösegeld zahlen müssen. Dabei wurden Plattformen die sicher sind, wie der Trader Bitcoin Era nicht dafür genutzt. Forscher der Sicherheitseinheit des BlackBerry entdeckten als erste die Lösegeldforderung.

 der Trader Bitcoin Era

Sie erklärten in TechCrunch, dass Tycoon ein Java-Dateiformat verwendet, um die Erkennung zu erschweren, bevor es seine Nutzlast, die die Dateien verschlüsselt, einsetzt.
Wie funktioniert Tycoon?

Im Gespräch mit Cointelegraph sagte Brett Callow, Bedrohungsanalyst von Emsisoft:

„Tycoon ist eine Java-basierte, von Menschen betriebene Lösegeldforderung, die speziell auf kleinere Unternehmen abzielt und typischerweise durch einen Angriff auf RDP eingesetzt wird. Java-basierte Lösegeldforderung ist ungewöhnlich, aber sicherlich nicht einzigartig. Microsoft warnte letzten Monat vor einer weiteren Java-basierten Lösegeldforderung, PonyFinal“.

In Bezug auf das Tool klärte Callow auch einige der Einschränkungen des kostenlosen Tools „Emsisoft Decryptor for RedRum“ auf:

„(…) das Tool funktioniert nur für Dateien, die mit der ursprünglichen Tycoon-Variante verschlüsselt wurden, nicht für Dateien, die mit nachfolgenden Varianten verschlüsselt wurden. Das heißt, es funktioniert für Dateien mit der Endung .RedRum, aber nicht für Dateien mit der Endung .grinch oder .thanos. Leider ist die einzige Möglichkeit, Dateien mit den letztgenannten Erweiterungen wiederherzustellen, die Zahlung des Lösegelds.

Lösegeld für mehrere Betriebssysteme

Die BlackBerry-Forscher stellten fest, dass Tycoon-Lösegeld sowohl auf Windows- als auch auf Linux-Computern ausgeführt werden kann, wobei die gleiche Technik zur Anforderung von Zahlungen in Kryptowährung wie bei Bitcoin (BTC) verwendet wird.

Die neuesten Ergebnisse zeigen, dass Tycoon-Infektionen vor allem Bildungseinrichtungen und Softwarehäuser laut Bitcoin Era betreffen. Forscher von BlackBerry glauben, dass die tatsächliche Zahl der Infektionen „wahrscheinlich viel höher ist“.

Darüber hinaus warnen sie davor, dass neuere Versionen der Tycoon-Ransomware ihre Angriffskraft verbessert haben. Früher konnten Entschlüsselungswerkzeuge eingesetzt werden, um Dateien für mehrere Opfer wiederherzustellen, aber das ist nicht mehr möglich.

Am 3. Juni schuf ElevenPaths, die spezialisierte Cyber-Sicherheitseinheit des spanischen Telekommunikationskonzerns Telefonica, ein kostenloses Tool namens „VCrypt Decryptor“. Dieses Tool zielt darauf ab, im Rahmen der internationalen Initiative „No More Ransomware“ mit der Lösegeldforderung VCryptor verschlüsselte Daten wiederherzustellen.