Erpressungs-Trojaner Stampado verleibt sich auch bereits verschlüsselte Daten ein

Erpressungs-Trojaner schlagen immer hinterhältiger zu: Als sich der Sicherheitsforscher Fabian Wosar eine neue Version von Stampado näher anschaute, fand er heraus, dass der Schädling bereits von einer anderen Ransomware gefangengenommene Daten nochmals verschlüsselt. So etwas habe es bisher noch nicht gegeben, berichteten die Experten für Erpressungs-Trojaner von Bleepingcomputer.com.

Darauf stieß Wosar, als er in der Liste mit den Datei-Namenserweiterungen, die sich Stampado einverleibt, auf Datei-Endungen stieß, die anderen Verschlüsselungs-Trojanern zuzuordnen sind. Darunter etwa Cerber, Locky und TeslaCrypt. Wie gewohnt, schlägt der Schädling darüber hinaus auch bei privaten Daten wie Fotos und Musik zu und gibt diese erst nach einer Lösegeldzahlung wieder frei.

Entschlüsselungs-Tool verfügbar

Bei wem Stampado sein Schadenswerk verrichtet hat, kann aber aufatmen: Wosar hat ein Entschlüsselungs-Tool entwickelt und stellt dieses kostenfrei zum Download bereit. So kommen Opfer aktuell gar nicht erst in die prekäre Situation, im schlimmsten Fall zweimal Lösegeld zahlen zu müssen, wenn bereits ein anderer Erpressungs-Trojaner zugeschlagen hat.

Für eine erfolgreiche Entschlüsselung benötige man Wosar zufolge lediglich die E-Mail-Adresse der Kriminellen aus der Erpresserbotschaft und die ID eines Opfers. Trägt man diese Informationen in den Optionen des Tools ein, kann man auf Knopfdruck ganze Festplatten oder ausgewählte Ordner entschlüsseln. Es ist empfehlenswert, die verschlüsselten Daten vorerst zu behalten, falls bei der Entschlüsselung etwas schief gehen sollte. Das ist in den Optionen voreingestellt.

Stampado tauchte erstmals Mitte Juli dieses Jahres auf. Dabei sorgte die Ransomware mit einem in Untergrund-Foren zum Spottpreis erhältlichen All-in-one-Paket für Schlagzeilen. (des)