Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

l+f: Reue nach Ransomware-Attacken? "Shade"-Gang stellt Decryption Keys online

Die Macher der Ransomware Shade alias Troldesh haben sich via GitHub bei ihren Opfern entschuldigt und wollen nun bei der Entschlüsselung helfen.

In Pocket speichern vorlesen Druckansicht 18 Kommentare lesen
l+f: "Ich habe deinen blöden PC infiziert, du Idiot"

(Bild: mastersenaiper, gemeinfrei (Creative Commons CC0))

Lesezeit: 2 Min.
Security
Von

(Bild: heise)

Im Zuge der Coronavirus-Pandemie haben Ransomware-Entwickler, sofern überhaupt möglich, ihren schlechten Ruf noch weiter ruiniert – nämlich indem sie derzeit gezielt Krankenhäuser und andere medizinische Einrichtungen angreifen, um hohe Lösegelder zu erpressen.

Möglicherweise hat dieses Verhalten vieler Gangs zumindest einen kleinen Teil dieser Szene zum Nachdenken gebracht. Möglicherweise hat auch nur irgendwo eine erboste Mutter den Stecker gezogen und ihren pubertierenden Nachwuchs dazu verdonnert, sich ein anderes Hobby (vorzugsweise im Freien) zu suchen. Wir wissen es nicht – klar ist: Die Gang um die Ransomware Shade/Troldesh hat sich bei ihren Opfern entschuldigt und mehr als 750.000 Entschlüsselungs-Keys nebst selbst geschriebener Decryption-Software veröffentlicht.
Mehr Infos

gdfgfdgd

Benutzerfreundliche Tools in der Mache

Keys und Software hat das ehemalige Shade-Team in einem GitHub-Repository hinterlegt. In der beigefügten README.md entschuldigen sich die Erpresser bei ihren Opfern. Sie hoffen demnach, dass die Keys diesen helfen, ihre Daten wiederherzustellen – und dass Antiviren-Firmen sie zeitnah verwenden werden, um benutzerfreundlichere Entschlüsselungs-Tools zu erstellen. Kaspersky Lab hat bereits via Twitter eine entsprechende Ankündigung veröffentlicht und nebenbei auch die Echtheit der Keys bestätigt.

In den Entschlüsselungshinweisen auf GitHub nennt die Ex-Shade-Gang folgende Extensions für Dateien, die mit "ihrem" Tool entschlüsselbar sein sollen:

xtbl, ytbl, breaking_bad, heisenberg, better_call_saul, los_pollos, da_vinci_code, magic_software_syndicate, windows10, windows8, no_more_ransom, tyson, crypted000007, crypted000078, rsa3072, decrypt_it, dexter und miami_california.

Abkehr vom Cybercrime (?)

Im Zuge einer Analyse durch die Forscher von Malwarebytes im August 2019 wollen diese noch recht viele Troldesh-Infektionen beobachtet haben. Die Gang selbst beteuert in ihrer Entschuldigung allerdings, den Schädling seit Ende 2019 nicht mehr zu verbreiten und nun den finalen Schlussstrich ziehen zu wollen.

Die geläuterte Gang schließt ihre Botschaft (frei übersetzt) mit folgenden netten Worten: "Falls du [bei der Entschlüsselung] Schwierigkeiten haben solltest, raten wir dazu, abzuwarten, bis die AV-Firmen komfortablere Entschlüsselungs-Tools veröffentlicht haben. Du kannst auch in einem thematisch passenden Forum um Hilfe fragen."

Mehr Infos

lost+found

Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.

Alle l+f Meldungen in der Übersicht

(ovw)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten