Ransomware und Erpressungs-Trojaner befallen in einem immer zunehmenden Maße Window Systeme. Ob nun CTB, Locky, Cryptolocker oder Petya - Die Entwicklung dieser bösartigen Malware wird immer perfider und intelligenter. Die Entwickler solcher Trojaner, welche die Daten auf den befallenen Systemen verschlüsseln und nur gegen die Zahlung eines Lösegeldes wieder freigeben, haben ein "Geschäftsmodell" entwickelt was für sie immer profitabler wird solange Ihre Opfer bereit zur Wiedererlangung der eigenen Daten freimütig ein Lösegeld zu zahlen. Häufig genug jedoch passiert nach der Zahlung des Lösegeldes, z.B. in Form einer Bitcoin-Überweisung, jedoch... rein gar nichts.

Ransomware - Decryptoren zur Entfernung von Lösegeld-Trojanern

Wirksame Methoden sich vor einem Befall von Ransomware zu schützen:

• Regelmäßige Updates des Betriebssystems durchführen
• Neueste Virenschutz Signaturen verwenden
• Möglichst im E-Mail Client *.exe Anhänge blockieren und Filtern
• Regelmäßige Backups erstellen
• E-Mail: Grundsätzlich nie auf unbekannte Links klicken oder Attachments runterladen und öffnen deren Quellen unbekannt sind
• Abschalten des Remote-Desktop Protokolls, des Windows-Scripting Hosts
• Nutzung von EMT und Applocker
• Nutzung von Anti-Ransomware Tools

Was ist nach einem Befall mit Ransomware zu tun ?

1. Feststellung mit welcher Art und Typ von Ransomware das System befallen wurde
2. Jegliche Internetverbindung zum befallenen System kappen
3. System-Wiederherstellung zum letzten lauffähigen Zeitpunkt durchführen oder auf Werkseinstellung zurücksetzen
4. BIOS-Uhr zurücksetzen ( z.B. bei Ransomware bei der ein Counter abläuft )

Programme und Decryptoren um Ransomware Verschlüsselungen zu knacken

Nach Befall eines Systems mit einer Erpressungs-Trojaner ist es zunächst einmal wichtig herauszufinden mit welcher Art von Ransomware man es zu tun hat. Hierzu kann man bei https://www.nomoreransom.org/crypto-sheriff.php, einem Projekt von Europol, Kaspersky und Intel, zwei durch den Trojaner verschlüsselte Dateien hochladen, die über die Webseite analysiert un *d identifiziert werden.

Sofern die Ransomware identifiziert wurde, lohnt es sich zu schauen ob hierfür ein Decryptor / Dekodierungs-Programm angeboten wird. Folgende Decryptoren sind derzeit (Stand: 03.08.2016) kostenfrei erhältlich:

Autolocky - Autolocky ist ein neuer Trojaner, der versucht die bekannte Ransomware "Locky" zu imitieren, jedoch deren Komplexität bei weitem nicht erreicht und somit eine Dekodierung der Daten durchaus möglich macht. Die durch Autolocky befallenen und verschlüsselten Dateien enden durchweg mit der Dateierweiterung *.locky - Ein Decryptor wird hierfür von Emsisoft angeboten [https://decrypter.emsisoft.com/autolocky]

HydraCrypt & UmbreCrypt - Hydra- und Umbre-Crypt sind zwei jüngere Variante aus der CrypBoss Ransomware-Familie. Soweit diese Trojaner sämtliche Sicherheitsmechanismen auf dem zu befallenden System überwunden haben, sperren Sie den Nutzer von seinem eigenen System aus und verweigern jeglichen Datenzugriff auf die Nutzerdateien. Decryptor für Hydra / Umbre von Emsisoft: [http://blog.emsisoft.com/2016/02/12/decrypter-for-hydracrypt-and-umbrecrypt-available/]

Petya - Der Petya Trojaner ist eine der größten Bedrohungen für PC-Nutzer. Bei Petya handelt es sich um Malware, die den Master Boot Record (MBR) des befallenen Systems überschreibt, so dass das System nicht mehr gebootet bzw. gestartet werden kann. Auch ein Start im Abgesicherten Modus ist dann nicht mehr möglich. [Decryptor & Passwort Generator unter: https://petya-pay-no-ransom.herokuapp.com/]

Operation Global III Ransomware Decryption Tool - Dieser Erpressungs-Trojaner verschlüsselt auf dem betroffene System die Daten mit dem Dateianhang *.EXE und lässt dem Nutzer danach keine andere Wahl als ein Lösegeld zu zahlen. Der Decryptor wird auf der betroffenen Maschine ausgeführt, danach lässt sich jede betroffenen Datei durch einen doppelklick wieder entschlüsseln. [http://download.bleepingcomputer.com/Nathan/og3patcher.exe]

Weitere Decryptoren:

• Nemucod / DMALocker2 / HydraCrypt / DMALocker / CrypBoss / Gomasom / LeChiffre / KeyBTC / Radamant
• CryptInfinite / PClock / CryptoDefense / Harasom / Xorist / 777 / BadBlock / Apocalypse Ransomware / ApocalypseVM
• Decrypter for Stampado

werden seitens Emsisoft angeboten.

TeslaCrypt - Der Hersteller Cisco vertreibt ein Kommandozeilen basierendes Tool unter Open Source Lizenz, mitdem sich via TeslaCrypt verschlüsselte Dateien wieder in den Ursprungszustand zurücksetzen lassen. [http://blogs.cisco.com/security/talos/teslacrypt]

Decrypt Protect - Hierdurch verschlüsselte Daten lassen sich mit diesem Tool wieder freigeben [http://tmp.emsisoft.com/fw/decrypt_mblblock.exe]

Zudem werden von weiteren Herstellern Programme zur Entschlüsselung von Ransomware angeboten wie:

Trendmicro:

• http://esupport.trendmicro.com/solution/en-us/1097042.aspx?name=using%20trend%20micro%20antiransomware%20tool
• http://esupport.trendmicro.com/solution/en-us/1098354.aspx?name=using%20trend%20micro%20antiransomware%203.0%20tool%20with%20usb

HitmanProKickstart - Ransomware Removal Tool [http://www.surfright.nl/en/downloads#x64]

AVG zur Entfernung folgender Trojaner / Malware:

[http://now.avg.com/dont-pay-the-ransom-avg-releases-six-free-decryption-tools-to-retrieve-your-files/]

• Apocalypse
• BadBlock
• Crypt888
• Legion
• SZFLocker
• TeslaCrypt

Kaspersky Labs:

• Windows Unlocker
• RannohDecryptor für Rannoh, AutoIt, Fury, Crybola, Cryakl, CryptXXX ransomware
• Weitere Decryptoren für Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Lortok, Cryptokluchen, Democry, Bitman oder TeslaCrypt finden sich hier
• Kaspersky CoinVault Decryptor

Das Jigsaw Decrypter Tool befreit Euch von der Ransomware "Jigsaw". Jigsaw löscht solange Dateien wie kein Lösegeld gezahlt wird.

Beim "Ransomware Removal und Ressource Kit" ist eine Zusammenstellung von unterschiedlichen Anleitungen und HowTo´s zum Umgang mit Ransomware. Zum 500 MB Download dieser Zusammenstellung gelangt ihr hier. Das Forum "Bleeping Computer" hat zudem einige Informationen zur Entfernung von TorrentLocker, Alpha Crypt, uvw. zusammengestellt. Dort findet Ihr auch den Tesla Decoder zur Entschlüsselung von TeslaCrypt.

Und last but not least gibt es noch eine Lösung für zahlreiche Decryptoren über http://www.anvisoft.com/product/rescuedisk.html