F-Secure mit zweischneidiger Hilfe für SynoLocker-Opfer
Die finnische Antivirenfirma bietet ein Tool, das von SynoLocker verschlüsselte Dateien retten soll. Damit es funktioniert, muss man allerdings den passenden Krypto-Schlüssel von den Cyber-Erpressern kaufen.
- Ronald Eikenberg
Der Antivirenhersteller F-Secure hat ein Tool namens Synounlocker veröffentlicht, das Dateien entschlüsseln können soll, die von der Ransomware SynoLocker befallen sind. Die Sache hat allerdings einen Haken: Um damit Dateien zu retten, benötigt man den passenden 2048 Bit langen RSA-Schlüssel – und den bekommt man derzeit ausschließlich, wenn man das von den Cyber-Erpressern geforderte Lösegeld in Höhe von 0,6 Bitcoin (derzeit rund 240 Euro) zahlt.
Sichere Verschlüsselung
SynoLocker infiziert Netzwerkspeicher (NAS) von SynoLogy durch eine Lücke in älteren Firmware-Versionen. Analog zu den Erpressungstrojanern auf dem PC verschlüsselt die Malware das digitale Hab und Gut seines Opfers und zeigt anschließend einen Erpresserbrief an, der zur Zahlung eines Lösegelds auffordert. Nach Angaben der Viren-Programmierer verschlüsselt SynoLocker die Dateien symmetrisch, jeweils mit einem anderen, 256-bit langem AES-Schlüssel. Letztere werden wiederum asymmetrisch mit RSA verschlüsselt.
Das RSA-Schlüsselpaar wird auf dem Server der Erpresser generiert, auf dem Rechner des Opfers landet nur der für die Verschlüsselung nötige Public Key. Den Private Key zur Entschlüsselung rücken sie – eventuell – nach Zahlung des Lösegelds heraus. Es besteht für die Opfer kaum Hoffnung, die Dateien anderweitig zu retten.
Eigentlich übernimmt das Entschlüsseln die Malware dann selbst. Doch: "In vielen Fällen, die wir untersucht haben, hat die Entschlüsselung nicht funktioniert", erklärt das finnische Unternehmen in seinem Blog. Nützlich sei das Tool etwa in dem Fall, wenn man sein NAS bereits bereinigt hat und sich die zur Entschlüsselung nötige Malware nicht mehr darauf befindet. Statt es erneut zu infizieren, soll man zu Synounlocker greifen.
Bezahlen ist keine Lösung
"Wir hoffen, mit der Veröffentlichung dazu beizutragen, den von den Kriminellen verursachten Schaden rückgängig zu machen", so F-Secure. "Wir empfehlen niemals, ein Lösegeld zu bezahlen" – dennoch dürfte das Unternehmen durch die Veröffentlichung des Tools aber das ein oder andere Opfer dazu motivieren, der Forderung der Cyber-Erpresser nachzukommen. Außerdem berichten auch die Finnen, dass der von den Tätern gelieferte Schlüssel in vielen Fällen falsch und damit nicht zum Entschlüsseln der Datei-Geiseln geeignet war.
Grundsätzlich sollte man davon absehen, den Aufforderungen der Cyber-Erpresser nachzukommen. Nicht nur, dass man sie damit finanziell unterstützt – man weiß nicht, ob die Dateien dadurch tatsächlich wieder lesbar werden. Stattdessen sollte man regelmäßig Backups von allen wichtigen Dateien anlegen. Für 240 Euro bekommt man schon so einige Backup-Platten. (rei)
