IT-Sicherheit

Entschlüsselungsprogramm für Ransomware

Warum Sie besser kein Entschlüsselungstool nutzen sollten

von 14.07.2020
Zu sehen ist eine Grafik, in der nach dem Befall von Ransomware das Lösegeld an den Erpresser übergibt. Ein Entschlüsselungsprogramm gibt es in diesem Fall nicht. Bild: Pixabay/mohamed Hassan
Ransomware legt das System lahm? Ein Entschlüsselungsprogramm hilft leider nicht immer. Bild: Pixabay/mohamed Hassan

Der Schaden ist passiert: Ransomware hat Ihr System befallen, nichts geht mehr. Ein Entschlüsselungsprogramm aus dem Internet verspricht schnelle Hilfe. Allerdings sollten Sie sich besser nicht auf seine Dienste verlassen.
Wir erklären, was ein Entschlüsselungsprogramm ist und warum Sie die Finger davon lassen sollten.

Zu sehen ist eine Grafik, in der nach dem Befall von Ransomware das Lösegeld an den Erpresser übergibt. Ein Entschlüsselungsprogramm gibt es in diesem Fall nicht. Bild: Pixabay/mohamed Hassan

Ransomware legt das System lahm? Ein Entschlüsselungsprogramm hilft leider nicht immer. Bild: Pixabay/mohamed Hassan

Wie infiziert man sich mit Ransomware?

Es ist schnell passiert: Ihr System ist mit Ransomware infiziert. Aber wie konnte das passieren? Eine von Cyberkriminellen besonders gern genutzte Infektionsmethode ist das Versenden von E-Mails mit manipulierten Anhängen. Über PDFs, Word- oder Excel-Dokumente schleusen sie die Schadsoftware auf dem System des Empfängers ein – sofern dieser beispielsweise der Aufforderung folgt, ein Makro zu installieren, um den Dateiinhalt ansehen zu können. Eines der jüngsten Beispiele dafür sind angebliche 1&1-Mails, die die Ransomware Hakbit im Gepäck haben.
Auch das sogenannte Malvertising ist bei Internetkriminellen beliebt. Dabei versteckt sich ein Erpressertrojaner hinter Werbeanzeigen auf Internetseiten. Der Klick darauf öffnet eine Webseite, die das Gerät dann mit der Schadsoftware infiziert. Noch schlimmer: Inzwischen kommen oft auch unsichtbare Webseiten-Elemente zum Einsatz, in denen der Download vom Benutzer unbemerkt abläuft.
Einmal im System, beginnt die Ransomware, die Dateien zu verschlüsseln. Es folgt die Aufforderung zur Zahlung von Lösegeld, meist in Form von Bitcoins. Warum Sie dieser Aufforderung nicht folgen sollten, lesen Sie in unserem Beitrag Lösegeld zahlen? Keine gute Idee!.

Entschlüsselungsprogramm verspricht schnelle Lösung

Wenn ein Verschlüsselungstrojaner einen Rechner oder gar ein ganzes Netzwerk lahmlegt, ist das für Unternehmen und Einrichtungen gleichermaßen ein gewaltiges Problem. Nicht nur, weil Arbeitsprozesse zum Erliegen kommen, sondern auch, weil die DSGVO hier ein Wörtchen mitzureden hat. Meistens ist der Befall durch Ransomware nämlich meldepflichtig.
Denn: Zu den IT-Schutzzielen der DSGVO gehört auch die Verfügbarkeit von Daten – und die wird durch einen Ransomware-Angriff eingeschränkt. Es liegt nach Interpretation der DSGVO also eine Datenschutzverletzung vor. Das wiederum kann ein Risiko für betroffenen Personen bedeuten. Bestes Beispiel dafür ist eine Arztpraxis. Stehen hier wichtige Gesundheitsdaten eines Patienten nicht zur Verfügung, besteht Gefahr für die Behandlung.
Es gilt also, schnell zu reagieren und das befallene System vom Erpressertrojaner zu befreien. Eine schnelle Lösung versprechen Entschlüsselungsprogramme aus dem Internet.

Wettrennen zwischen Forschern und Kriminellen

Eines vorweg: Diverse Entschlüsselungstools gibt es tatsächlich. Sicherheitsforscher befinden sich in einem ständigen Wettlauf mit den Cyberkriminellen. Sie versuchen, schnellstmöglich entsprechende Entschlüsseler für neue Ransomware zu entwickeln, was ihnen auch immer wieder gelingt. Auf der anderen Seite entwickeln die Kriminellen ihre Schadsoftware so weiter, dass die Entschlüsselungstools nicht mehr greifen. Und schon sind die Forscher wieder am Zug.
Inzwischen haben sich die Forscher sogar mit Polizeibehörden, darunter Europol, zusammengeschlossen, um der Bedrohung durch Ransomware besser begegnen zu können. Auf der Webseite nomoreransom.org veröffentlichen sie die bereits entwickelten Entschlüsseler. Sollten Sie sich einen Erpressertrojaner eingefangen haben, könnten Sie auf dieser Seite fündig werden.
Wichtig ist: Sollten Sie sich selbst an eine Entschlüsselung Ihrer Daten wagen, achten Sie auf der Seriosität der Quelle des Entschlüsselungstools! Ansonsten laufen Sie Gefahr, alles nur noch schlimmer zu machen.

Zu sehen ist eine Grafik, in der eine Figur einen Schlüssel reicht. Der Schlüssel steht symbolisch für eine Entschlüsselungsprogramm. Bild: Pixabay/Peggy und Marco Lachmann-Anke

Die Entschlüsselung für Ransomware auf dem Serviertablett? Eher unwahrscheinlich. Bild: Pixabay/Peggy und Marco Lachmann-Anke

Zorab-Ransomware tarnt sich als Entschlüsselungsprogramm

Das kann zum Beispiel passieren, wenn Sie einen Entschlüsseler für die Ransomware STOP/Djvu suchen. Diese verschlüsselt die Dateien ihrer Opfer und weist ihnen je nach Version eine Erweiterung zu (.djvu, .djvus, .djvuu, .tfunde und .uudjvu). Das berichtet Kaspersky. Es gibt tatsächlich ein anerkanntes Entschlüsselungstool von Emisoft. Allerdings ist es gegen neuere Versionen von STOP/Djvo machtlos.
Bei dem Tool, das aktuell per Link in einigen Foren verbreitet wird, handelt es sich  dagegen nicht um einen Entschlüsseler. Vielmehr tarnt sich hier die Ransomware Zorab als Entschlüsselungsprogramm. Anstatt die bereits verschlüsselten Daten zu entschlüsseln, verschlüsselt sie sie erneut. Nutzen Sie dieses Programm, stehen sie am Ende noch schlechter dar als vorher.
Sie sollten sich folgendes bewusst machen: Dass anonyme Samariter ein Entschlüsselungsprogramm erstellen und veröffentlichen, ist eher unwahrscheinlich. Sie sollten sich daher nur auf vertrauenswürdige Portale verlassen – oder direkt auf die Hilfe eines Profis setzen.

Experte hilft bei Entschlüsselung

So einen Profi finden Sie auch unter den Experten aus dem IT-SERVICE.NETWORK. Er hilft Ihnen bei der Suche nach einem sicheren Entschlüsselungstool und führt die Entschlüsselung anschließend durch – sofern bereits ein passendes Tool existiert. Gibt es so ein Programm noch nicht, existiert in Ihrem Unternehmen hoffentlich ein lückenloses Backup, durch das sich die Daten – nach der Entfernung der Ransomware – vergleichsweise einfach wieder aufspielen lassen. Ansonsten haben Sie schlechte Karten.
Warten Sie nicht erst, bis das Kind in den Brunnen gefallen ist, sondern sorgen Sie rechtzeitig dafür, dass Ransomware Ihrem Unternehmen nichts anhaben kann. Das erreichen Sie einerseits durch die Einführung des besagten Backups, andererseits dadurch, dass Ihre Mitarbeiter verdächtige Links und Dateien erst gar nicht öffnen. Dabei helfen spezielle Security-Awareness-Schulungen.
Unsere Experten vermitteln Ihnen gern eine solche Schulung und übernehmen zudem das Backup-Management für Ihr Unternehmen. Nehmen Sie Kontakt auf und lassen Sie sich unverbindlich informieren.

Geschrieben von

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich – anfangs in der Position der Online-Redakteurin und inzwischen als Content Marketing Managerin. Die studierte Germanistin/Anglistin und ausgebildete Redakteurin behält das Geschehen auf dem IT-Markt im Blick, verfolgt gespannt neue Trends und Technologien und beobachtet aktuelle Bedrohungen im Bereich des Cybercrime. Die relevantesten… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

AnyDesk-Hack

Anbieter von Fernwartungssoftware ist Ziel von Cyberattacke

von • 14.02.2024

Neuer Tag, neuer Sicherheitsvorfall: Jetzt hat es AnyDesk, den Anbieter der gleichnamigen Software getroffen. Das BSI empfiehlt Unternehmen, angesichts des AnyDesk-Hacks vors...

Weiterlesen
IT-Sicherheit

Datenleck bei Trello

15 Millionen Datensätze bei Hackerangriff auf Betreiber Atlassian erbeutet

von • 12.02.2024

Cyberkriminelle konnten durch ein Datenleck bei Trello offenbar Daten von mehr als 15 Millionen Daten abgreifen. In einem Hackerforum im Darknet stehen diese Daten zum Verkauf. Wir berichten, was e...

Weiterlesen
IT-Sicherheit

Have I Been Pwned

Webseite gibt Auskunft über durch Datenlecks geleakte Konto

von • 07.02.2024

Nachrichten über Datenlecks machen immer wieder die Runde. Häufig ist Nutzern dabei gar nicht bewusst, dass auch ihre Daten geleakt worden sein könnten. Die Webseite Have I Been Pwned gibt Gewisshe...

Weiterlesen