Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Ransomware: Entschlüsselungstool für Muse, DarkRace und DoNex veröffentlicht

Opfer der Verschlüsselungstrojaner Muse, DarkRace und DoNex können ab sofort, ohne Lösegeld zu zahlen, wieder auf ihre Daten zugreifen.

In Pocket speichern vorlesen Druckansicht
Stilisiertes Bild mit rötlichen Leiterbahnen, offenem Schloss im Vordergrund und den Worten Data Leak, Security, Exploit found

(Bild: Black_Kira/Shutterstock.com)

Lesezeit: 2 Min.
Security
Von
Inhaltsverzeichnis

Sicherheitsforscher von Avast sind auf eine kryptografische Schwäche in der Verschlüsselungsroutine der Windows-Ransomware Muse und deren Abkömmlingen gestoßen. Darauf basierend haben sie ein Entschlüsselungstool entwickelt, das sie nun kostenlos zum Download anbieten.

Deutschland betroffen

Der Erpressungstrojaner Muse ist einem Bericht der Sicherheitsforscher zufolge seit April 2022 aktiv und hat seitdem mehrere Rebrandings erfahren. Ab November 2022 war der Schädling als fake LockBit 3.0 unterwegs. Im Mai 2023 wurde daraus DarkRace. Ab März 2024 trieb der Trojaner unter der Bezeichnung DoNex sein Unwesen. Das Entschlüsselungstool soll bei allen Varianten helfen.

Die Forscher geben an, dass der Schädling vor allem in Italien und den USA bei gezielten Attacken zum Einsatz kam. Doch auch in Deutschland sei es zu Attacken gekommen. In welchem Umfang die Angriffe stattfanden, ist derzeit nicht bekannt. Seit April 2024 haben die Forscher eigenen Angaben zufolge keine neuen Samples der Ransomware beobachtet. Auch die Tor-Website ist seitdem offline.

Daten entschlüsseln

In ihrem Beitrag führen die Entwickler des Entschlüsselungstools aus, wie Opfer erkennen, welche Variante bei ihnen zugeschlagen hat. Nach dem Download und der Installation des Tools müssen Opfer lediglich die Ordner mit den verschlüsselten Dateien auswählen. Doch damit die Entschlüsselung funktioniert, benötigen Opfer von einer möglichst großen verschlüsselten Datei die unverschlüsselte Originalversion.

Erst dann kann das Knacken des Passworts beginnen. Da dieser Prozess viel Arbeitsspeicher benötigt, empfehlen die Forscher, die 64-Bit-Version des Tools zu nutzen. Wo genau die Schwachstelle in der Verschlüsselung zu finden ist, führt Avast zurzeit nicht aus.

Weitere Entschlüsselungstools finden

Auf der Website ID Ransomware können Opfer von Erpressungstrojanern durch das Hochladen von einer Lösegeldforderung herausfinden, welche Ransomware bei ihnen zugeschlagen hat und ob es bereits ein Entschlüsselungstool gibt. Zum Zeitpunkt dieser Meldung erkennt der Service 1145 Verschlüsselungstrojaner.

(des)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten