Krypto-Trojaner überlegt es sich anders und entschlüsselt alles wieder
Der Erpressungs-Trojaner Locker ist erst seit wenigen Tagen im Umlauf. Und schon ist seine Karriere wieder vorbei: Er hat vergangenen Dienstag den Befehl erhalten, alle verschlüsselten Dateien wiederherzustellen.
- Ronald Eikenberg
Der mutmaßliche Entwickler des Verschlüsselungs-Trojaners Locker hat seiner Windows-Malware am vergangenen Dienstag anscheinend den Befehl erteilt, alle durch sie verschlüsselten Dateien wieder zu entschlüsseln. Zudem hat er eine Liste aller Schlüsselpaare ins Netz gestellt, die jemals zum Einsatz kamen.
Malware erst seit Ende Mai im Umlauf
Locker ist erstmals Ende Mai in Erscheinung getreten. Nach der Infektion verschlüsselte der Krypto-Trojaner alle Dateien, die seinem Opfer lieb und teuer sind: Unter anderem Office-Dokumente, Fotos, Zertifikate sowie Arbeitsdateien von Adobe Illustrator und Co. Was in Privathaushalten ärgerlich ist, kann in Firmen ernsthafte finanzielle Schäden verursachen. Perfiderweise löschte der Schädling im Anschluss auch noch die Schattenkopien auf Laufwerk C. Diese automatisch erzeugten Dateikopien sind für Opfer von Krypto-Trojanern oft ein letzter Rettungsanker – insbesondere, wenn es kein Backup gibt.
Wer wieder Zugriff auf die Dateien erhalten wollte, musste den zur Entschlüsselung nötigen, individuellen Krypto-Schlüssel beim Entwickler freikaufen. Im Vergleich zu anderen Verschlüsselungs-Trojanern war das Lösegeld mit 0,1 Bitcoin niedrig angesetzt. Umgerechnet entspricht das gerade einmal rund 20 Euro. Erst nach Ablauf der Frist wurde die geforderte Summe auf 1 Bitcoin erhöht.
Befehl zum Entschlüsseln
Doch zahlen muss jetzt niemand mehr. Die Locker-Malware hat am gestrigen Dienstag offenbar den Befehl erhalten, alle verschlüsselten Dateien wieder zu entschlüsseln. Zudem kursiert eine Liste mit allen Krypto-Schlüsseln, die von Locker genutzt wurden. Die Daten sind anscheinend echt: Ein Nutzer des Computerhilfe-Forums Bleepingcomputer.com hat mit Hilfe der Liste ein Rettungsprogramm geschrieben, das die von Locker verschlüsselten Dateien wieder lesbar macht. Das ist insbesondere dann nützlich, wenn man die Malware bereits vom System entfernt hat und nicht von der automatischen Entschlüsselung profitieren kann.
Entwickler zeigt Reue
Bei dem Texthoster Pastebin findet sich ein Bekennerschreiben, laut dem der Locker-Entwickler selbst hinter der Herausgabe der Keys steckt. Der Verfasser mit dem Pseudonym "Poka BrightMinds" erklärt, dass es ihm leid tue und es nie seine Absicht gewesen sei, die Malware zu veröffentlichen. Zudem enthält das Schreiben Details zu den eingesetzten Verschlüsselungsverfahren. Ob tatsächlich der Entwickler der Malware für die Entschlüsselungs-Aktion verantwortlich ist, darüber kann man nur spekulieren. Denkbar ist auch, dass ein gutmütiger Hacker die Kontrolle über das Projekt übernommen hat. (rei)