EntschlĂĽsselungstool: Sicherheitsforscher knacken Akira-Ransomware
Stimmten die Voraussetzungen, können Opfer des Erpressungstrojaner Akira ohne Lösegeld zu zahlen auf ihre Daten zugreifen.
Sicherheitsforscher von Avast haben ein kostenloses Entschlüsselungstool für die Ransomware Akira unter Windows veröffentlicht. Damit können Opfer unter Umständen ihre verschlüsselten Dateien befreien und sie wieder öffnen.
Trojaner seit März bekannt
In einem Beitrag führen sie aus, dass das Entschlüsselungstool ausschließlich mit der im März 2023 entdeckten Akira-Ransomware und nicht der Variante aus 2017 funktioniert. Der Verschlüsselungstrojaner hat es auf Linux- und Windows-PCs abgesehen. An welcher Schwachstelle der Ransomware sie konkret angesetzt haben, führen die Forscher bislang nicht aus.
Wenn der Schädling zugeschlagen hat, sind die Dateien verschlüsselt und weisen die Dateiendung .akira auf. Den Schlüssel wollen die Erpresser erst nach einer Lösegeldzahlung rausrücken. Wie hoch die Forderungen ausfallen, ist derzeit nicht bekannt. Dem Erpresserschreiben zufolge haben es die Hintermänner von Akira vorwiegend auf Firmen abgesehen. Wie sich Akira verbreitet, ist derzeit nicht bekannt. Aus der Erfahrung ist davon auszugehen, dass der Schädling an gefälschten Mails hängt und sich so auf PCs schleichen will.
Um Dateien so schnell wie möglich zu verschlüsseln, geschieht das den Sicherheitsforschern zufolge ja nach Dateigröße nur für bestimmte Bereiche einer Datei und nicht vollständig.
Unter Windows soll die VerschlĂĽsselung ĂĽber die hauseigenen Windows CryptoAPI geschehen. Unter Linux soll dafĂĽr die Bibliothek Crypto++ zum Einsatz kommen.
Daten entschlĂĽsseln
Da das Knacken des Ransomware-Passworts viel Arbeitsspeicher belegen kann, empfehlen die Sicherheitsforscher die 64-Bit-Version für Windows herunterzuladen. Damit der Vorgang klappt, benötigen Opfer mindestens von einer Datei neben der verschlüsselten Variante auch die unverschlüsselte Original-Version. Nur damit ausgestattet kann das Tool Daten wieder lesbar machen. Wurde das Passwort erfolgreich geknackt, kann es auf weitere verschlüsselte Dateien angewendet werden.
Wer sich unsicher ist, welcher Erpressungstrojaner sich auf dem PC breit macht und wissen möchte, ob es bereits ein Entschlüsselungstool gibt, sollte die Website ID Ransomware besuchen. Die Seite wird vom Sicherheitsforscher-Zusammenschluss MalwareHunterTeam betrieben.
Status quo erkennt der Service 1110 Erpressungstrojaner und zeigt im Ergebnis, ob es ein gratis Entschlüsselungstool gibt. Dafür muss man lediglich eine verschlüsselte Datei oder die Lösegeldforderung hochladen.
(des)