Darkside Ransomware – Entschlüsselung möglich
07.05.2021
Die Ransomware Darkside hat in der Vergangenheit viel Schaden angerichtet. Immer wieder haben die Cyber-Erpresser Summen zwischen 200.000 bis 2 Millionen US-Dollar verlangt, um verschlüsselte Daten wieder zu entschlüsseln. Eine Lösegeldzahlung ist nun nicht mehr nötig, weil die Sicherheitsforscher von Bitdefender ein Entschlüsselungstool zum kostenlosen Download entwickelt haben.
Angesichts der guten Nachricht warnt Fabian Mahr von Mahr EDV bei aller berechtigten Freude vor zu viel Euphorie: „Manchmal geschehen Wunder oder man hat Glück, dass es eine kostenfreie Entschlüsselungsmöglichkeit nach einem Ransomware-Vorfall gibt, doch in der Regel sind die Daten ohne Backup oder Zahlung an Kriminelle verloren. Bei den zahlreichen auch in der Presse thematisierten Vorfällen, ist Prävention sicherlich die bessere Alternative als Nachsicht oder Glücksspiel.“ Aus diesem Grund hält Mahr EDV seine Kunden und Interessierte zum einen über neue Tools zur Entschlüsselung auf dem Laufenden, betont zum anderen aber mit Nachdruck die Notwendigkeit präventiver Maßnahmen zum Schutz vor Ransomware und gibt entsprechende Tipps.
Entschlüsselungstool für Darkside Ransomware
Das Tool “Bitdefender Decryption Utility for DarkSide ransomware” steht ab sofort hier (nicht mehr erreichbar) zum Download bereit. Es soll mit allen Versionen von Darkside funktionieren, die derzeit im Umlauf sind.
Im Folgenden erinnert Mahr EDV an weitere Entschlüsselungstools und gibt wichtige Sicherheitshinweise zu deren Anwendung:
Tabelle der Entschlüsselungstools für durch Ransomware verschlüsselte Dateien
ACHTUNG: Bitte lesen Sie zuerst die „Sicherheitshinweise“ und „Maßnahmen zur Entschlüsselung“ unten. Ebenfalls unterhalb der Tabelle finden Sie wichtige „Maßnahmen bei einer Ransomware Infektion“.
Ransomware | Erkennung des Trojaners | Entschlüsselungstool |
Apocalypse | Dateien mit folgender Endung verschlüsselt: .encrypted .locked .SecureCrypted Hinterlassene Nachrichten: .How_To_Decrypt.txt .README.Txt .Contact_Here_To_Recover_Your_Files.txt | Apocalypse Decryptor Tool 1 Apocalypse Decryptor Tool 2 |
BadBlock | Hinterlassene Nachrichten: Help Decrypt.html | BadBlock Decryptor Tool 1 BadBloc Decryptor Tool 2 |
Crypt888 | Dateien mit folgendem Präfix verschlüsselt: Lock. | Crypt888 Decryptor Tool1 |
Legion | Dateien mit folgender Endung verschlüsselt: .legion | Legion Decryptor Tool 1 |
SZFLocker | Dateien mit folgender Endung verschlüsselt: .szf | SZFLocker Decryptor Tool 1 |
TeslaCrypt | Dateien mit folgender Endung verschlüsselt: .vvv .micro .mp3 | TeslaCrypt Decryptor Tool 1 |
CoinVault /Bitcryptor | Dateien mit folgender Endung verschlüsselt: .CointVault | CoinVault Bitcryptor Decryptor Tool 1 (nicht mehr erreichbar) |
Rannoh /CryptXXX | Dateien mit folgendem Präfix verschlüsselt: Lock. | Rannoh CryptXXX Decryptor Tool 1 |
Rakhni | Dateien mit folgender Endung verschlüsselt: .oshit | Rakhni Decryptor Tool 1 |
Sicherheitshinweis
Immer wieder kursieren Emails und Anleitungen im Internet mit Downloadlinks für angebliche Entschlüsselungstools. Bei vielen dieser Angebote handelt es sich jedoch um nichts weiter als ebenso bösartige Schadsoftware. Immer wieder passiert es also, dass Betroffene mit einem infizierten Computer auf anderen Geräten die vermeintliche Entschlüsselungssoftware herunterladen, die dann weitere Computer im Netzwerk infiziert und verschlüsselt statt wie erhofft zu entschlüsseln. Statt selbst irgendwelche Maßnahmen zu ergreifen, empfehlen wir, einen fachkundigen IT Dienstleister zu beauftragen. Dieser Artikel verlinkt zwar auf Verschlüsselungstools und erklärt die Durchführung der Entschlüsselung, ist jedoch vielmehr dazu gedacht, Betroffene zu informieren, dass nunmehr Chancen für eine Entschlüsselung bestehen, und IT Experten beim Ransomware entschlüsseln zu unterstützen.
Ransomware entschlüsseln: wichtige Maßnahmen
- Die Vorsichtsmaßnahmen sind unbedingt zu beachten: Die auf bspw. einer externen Festplatte oder einem USB-Stick gesicherten verschlüsselten bzw. infizierten Daten (siehe unten: „Vorsichtsmaßnahmen bei einer Ransomware Infektion“) sollten höchstvorsorglich auf eine zweite externe Festplatte oder einen zweiten USB-Stick kopiert werden, um nur mit der zweiten Arbeitskopie Entschlüsselungsversuche zu unternehmen. Es ist nicht auszuschließen, dass die Entschlüsselungstools ganz oder teilweise keine Entschlüsselung durchführen können und die Dateien unwiederbringlich zerstören, weshalb sich die zweite Arbeitskopie empfiehlt. Wichtig ist ebenso, dass der für die Entschlüsselung verwendete Rechner nicht mit dem Netzwerk verbunden ist, über aktuelle Virenschutzsoftware verfügt und auch sonst besonders fachkundige Vorsicht an den Tag gelegt wird, um die Ransomware nicht zu aktivieren.
- Der oben stehenden Tabelle ist zu entnehmen, welches Entschlüsselungstool sich für die Entschlüsselung eignet und woran die jeweilige Ransomware zu erkennen ist, um das passende Tool mit den in der Tabelle aufgelisteten Links auf einem garantiert schadsoftwarefreien Computer herunterzuladen. Sind mehrere Links angegeben, sollten beide Tools probiert werden. Vor dem Anschluss der zweiten Arbeitskopie sollten die oben beschriebenen Vorsichtsmaßnahmen beachtet werden.
- Nach dem Start des Entschlüsselungstools führt dieses in der Regel mit wenigen selbsterklärenden Schritten durch den Prozess der Entschlüsselung.
- War die Entschlüsselung erfolgreich, sollten die geretteten bzw. entschlüsselten Daten an einem sicheren (garantiert schadsoftwarefreien) Ort gelagert und nach erneuten Prüfungen (u.a. Virenprüfung) wieder auf das Produktivsystem gespielt werden.
- Sind alle Daten erfolgreich entschlüsselt worden, sollten die infizierten Dateien sicher gelöscht werden. Anderenfalls können die gesicherten bzw. infizierten Daten aufbewahrt werden, da gute Chancen bestehen, dass in der Zukunft Entschlüsselungstools entwickelt werden, die auch Ihre Daten wieder nutzbar machen.
Maßnahmen bei einer Ransomware Infektion
- Infizierte Rechner sollten sofort vom Netzwerk getrennt und bis zur vollständigen Bereinigung oder Neuinstallation nicht wieder mit dem Netzwerk verbunden werden. Wer nicht fachkundig ist, schaltet den Rechner am besten sofort aus und bestellt Experten.
- Empfehlenswert ist, von dem betroffenen Rechner ein vollständiges Image zu erstellen oder die Datendateien auf ein externes Medium zu kopieren, ohne den Rechner selbst wieder einzuschalten bzw. ohne von dessen ggf. infizierten Datenspeichern (u.a. Festplatten) zu booten.
- Der betroffene Rechner kann je nach Version und Art der Ransomware durch Anti-Viren-Software zumeist bereinigt werden. Wer auf Nummer sicher gehen will, installiert den Rechner komplett neu.