CryptoSearch: Tool findet und sammelt von Ransomware verschlüsselte Dateien zur Verwahrung ein

Mit dem kostenlosen Windows-Tool CryptoSearch können Opfer von Verschlüsselungs-Trojanern ihren Computer nach betroffenen Dateien durchsuchen – oft sind diese über zig Ordner verstreut. Anschließend kann CryptoSearch die Funde gesammelt auf einer externen Festplatte ablegen.

Vorbereitet warten

Das ist hilfreich, wenn es noch kein Entschlüsselungstool gibt. So hat man die verschlüsselten Daten an einem Platz gesichert. Nach Erscheinen eines Entschlüsselungstools holt man die Festplatte wieder hervor und kann umgehend loslegen.

CryptoSearch stammt von dem Sicherheitsforscher Michael Gillespie, der auch für das Portal ID-Ransomware verantwortlich zeichnet, berichtet Bleepingcomputer.com. Über das Portal kann man Verschlüsselungs-Trojaner identifizieren. Dort holt sich CryptoSearch zudem die Ransomware-Definitionen für die Suche her. Neben der Online-Aktualisierung kann man das Tool auch offline via Bin-Datei auf den aktuellen Stand bringen.

Aktuell kann CryptoSearch verschlüsselte Daten von 240 Erpressungs-Trojanern erkennen. Damit das klappt, müssen Opfer entweder den Namen der Ransomware, die Namenserweiterung von betroffenen Dateien oder deren HEX-Muster im Tool angeben. Anschließend durchsucht CryptoSearch auf Wunsch einen Ordner oder den kompletten Computer.

In einem kurzen Test haben wir erfolgreich von TeslaCrypt 2 als Geisel genommene Dateien gefunden und auf eine externe Festplatte verschoben.

Kostenlos und mit Hilfsforum

Ist der Scan abgeschlossen, kann man die Funde an einen anderen Speicherort kopieren oder verschieben. Praktisch: Dabei übernimmt CryptoSearch am neuen Speicherort den Original-Dateipfad. So lassen sich verschlüsselte Dateien im Nachhinein leichter zuordnen.

Das Tool steht kostenlos zum Download bereit. Im Support-Forum auf Bleepingcomputer.com kann man etwaige Probleme mit anderen Nutzern diskutieren. (des)