Kostenfreies Entschlüsselungswerkzeug für frühere Opfer von REvil-Attacken

Sicherheitsforscher von Bitdefender ermöglichen es nach eigenen Angaben allen Opfern von Attacken mit Verschlüsselungstrojanern der Gruppe REvil alias Sodinokibi bis Anfang 2020, mit einem neuen universellen Entschlüsselungsprogramm ihre Daten wiederherzustellen und so wieder verfügbar zu machen. Das kostenlose Werkzeug haben die Experten in Zusammenarbeit mit einem "anerkannten Strafverfolgungspartner" entwickelt, den sie derzeit wegen weiter laufender Ermittlungen noch nicht nennen wollen.

Der "REvil-Dekryptor" steht ab sofort gratis zum Download bereit. Die Forscher haben zusätzlich eine Schritt-für-Schritt-Anleitung für den Einsatz des Instruments herausgegeben. Die Entwicklungspartner sind offenbar auf Fehler in der Verschlüsselung der Ransomware gestoßen. Den Dekryptor haben sie noch während der polizeilichen Untersuchungen veröffentlicht, "um so vielen Opfern wie möglich zu helfen". Nähere Details zu den laufenden Ermittlungen geben sie derzeit nicht bekannt.

REvil ging offline

In Russland verortete Online-Erpresserbanden wie REvil und DarkSide hatten nach der Cyberattacke auf den Betreiber der Colonial Pipeline in den USA im Mai zunächst erklärt, keine Organisationen im "sozialen Bereich" wie Gesundheits- und Bildungseinrichtungen sowie generell keine Infrastrukturen der öffentlichen Verwaltung eines Landes mehr angreifen zu wollen. Mitte Juli war die REvil-Infrastruktur dann zunächst teilweise offline gegangen. Opfer der Gang, die bis dahin kein Lösegeld bezahlt hatten, konnten so ihre verschlüsselten Daten gar nicht mehr wiedererlangen.

Die REvil-Gruppe trat 2019 als Nachfolgerin der inzwischen nicht mehr existierenden GandCrab-Bande auf. Sie gilt als ist eine der rührigsten Ransomware-Schmieden im Dark Web. Mitglieder des REvil-Partnerprogramms haben in den vergangenen Jahren tausende IT-Unternehmen, Service-Provider und Einzelhändler auf der ganzen Welt ins Visier genommen. Nach dem erfolgreichen Verschlüsseln der Daten einer Firma forderten sie bisher hohe Lösegelder von bis zu 70 Millionen US-Dollar im Austausch für einen Entschlüsselungskey und die Gewähr, dass die während des Angriffs erbeuteten internen Daten nicht veröffentlicht würden.

Neue Angriffe erwartet

Bitdefender geht davon aus, dass neue REvil-Angriffe unmittelbar bevorstehen. Die Server und die unterstützende Infrastruktur der Ransomware-Bande sind nach einer zweimonatigen Ruhephase vor Kurzem in neuer Aufstellung wieder online gegangen. Ein Teil der bisherigen IT-Anlagen soll zwar von unbekannter Seite kompromittiert worden sein. Die Beutezüge dürften aber trotzdem wieder starten.

Die Sicherheitsforscher raten Organisationen dringend, "in höchster Alarmbereitschaft zu sein und die notwendigen Vorsichtsmaßnahmen zu treffen". Im Januar hatte Bitdefender bereits ein Gratis-Entschlüsselungstool veröffentlicht, das gegen alle damaligen Versionen von Darkside funktionieren sollte. Beobachter gehen davon aus, dass es enge Verbindungen zwischen Kernmitgliedern von DarkSide und REvil gibt.

[Update 20.09. 09:30 Uhr]:

Mittlerweile hat Bitdefender das Tool eigenen Angaben zufolge repariert und die Entschlüsselung ausgebaut, sodass es auch mit REvil-Versionen bis Anfang 2020 verschlüsselte Daten retten können soll. Intro- und Fließtext entsprechend angepasst.

[Update 18.09. 14:00 Uhr]: Fabian Wosar von der auf Anti-Malware spezialisierten Firma Emisoft rät auf Twitter dazu, das Entschlüsselungswerkzeug von Bitdefender aufgrund eines technischen Fehlers noch nicht einzusetzen und auf ein Update zu warten. Auf jeden Fall sollten Nutzer die eingeschlossene Backup-Funktion verwenden. REvil habe den Verschlüsselungsmodus, der Probleme mit dem Dekryptor verursache, zwischen Mitte Januar und Mitte Februar 2020 eingeführt. Auf Basis bekannter Fälle dürften etwa 10 bis 15 Prozent aller Opfer betroffen sind.

(axk)