Ransomware: Entschlüsselungstool für Muse, DarkRace und DoNex veröffentlicht
Opfer der Verschlüsselungstrojaner Muse, DarkRace und DoNex können ab sofort, ohne Lösegeld zu zahlen, wieder auf ihre Daten zugreifen.
Sicherheitsforscher von Avast sind auf eine kryptografische Schwäche in der Verschlüsselungsroutine der Windows-Ransomware Muse und deren Abkömmlingen gestoßen. Darauf basierend haben sie ein Entschlüsselungstool entwickelt, das sie nun kostenlos zum Download anbieten.
Deutschland betroffen
Der Erpressungstrojaner Muse ist einem Bericht der Sicherheitsforscher zufolge seit April 2022 aktiv und hat seitdem mehrere Rebrandings erfahren. Ab November 2022 war der Schädling als fake LockBit 3.0 unterwegs. Im Mai 2023 wurde daraus DarkRace. Ab März 2024 trieb der Trojaner unter der Bezeichnung DoNex sein Unwesen. Das Entschlüsselungstool soll bei allen Varianten helfen.
Die Forscher geben an, dass der Schädling vor allem in Italien und den USA bei gezielten Attacken zum Einsatz kam. Doch auch in Deutschland sei es zu Attacken gekommen. In welchem Umfang die Angriffe stattfanden, ist derzeit nicht bekannt. Seit April 2024 haben die Forscher eigenen Angaben zufolge keine neuen Samples der Ransomware beobachtet. Auch die Tor-Website ist seitdem offline.
Daten entschlüsseln
In ihrem Beitrag führen die Entwickler des Entschlüsselungstools aus, wie Opfer erkennen, welche Variante bei ihnen zugeschlagen hat. Nach dem Download und der Installation des Tools müssen Opfer lediglich die Ordner mit den verschlüsselten Dateien auswählen. Doch damit die Entschlüsselung funktioniert, benötigen Opfer von einer möglichst großen verschlüsselten Datei die unverschlüsselte Originalversion.
Erst dann kann das Knacken des Passworts beginnen. Da dieser Prozess viel Arbeitsspeicher benötigt, empfehlen die Forscher, die 64-Bit-Version des Tools zu nutzen. Wo genau die Schwachstelle in der Verschlüsselung zu finden ist, führt Avast zurzeit nicht aus.
Weitere Entschlüsselungstools finden
Auf der Website ID Ransomware können Opfer von Erpressungstrojanern durch das Hochladen von einer Lösegeldforderung herausfinden, welche Ransomware bei ihnen zugeschlagen hat und ob es bereits ein Entschlüsselungstool gibt. Zum Zeitpunkt dieser Meldung erkennt der Service 1145 Verschlüsselungstrojaner.
(des)