l+f: Bezahlte Zerstörung – Ransomware-Opfer fallen gleich doppelt auf die Nase

Der von den Machern der Ransomware "Ryuk" bereitgestellte Decryptor macht große Dateien mitunter kaputt, statt sie zu entschlüsseln.

In Pocket speichern vorlesen Druckansicht 22 Kommentare lesen
Fabrikhalle mit Aufschrift "Tesla", davor eine Autobahn

(Bild: Shutterstock / golubovystock)

Lesezeit: 2 Min.

(Bild: heise)

Wenn sensible Daten einem Verschlüsselungstrojaner zum Opfer fallen, greifen noch immer viele Nutzer bereitwillig in ihre (virtuellen) Geldbeutel, um das geforderte Lösegeld zu zahlen. Wie falsch dieser Impuls ist und dass es Sinn ergibt, dem gängigen Rat von Sicherheitsexperten zu folgen – nämlich nicht zu zahlen –, zeigt eine aktuelle Dateianalyse des Emsisoft-Teams.

Einem Blogeintrag der Sicherheitsforscher zufolge erhalten Opfer einer aktuellen, seit etwa zwei Wochen kursierenden Variante der Ransomware Ryuk, die sich für die Zahlung entscheiden, zwar ein Entschlüsselungstool von den Cyber-Gangstern. Statt Dateien zu entschlüsseln, richtet es in einigen Fällen allerdings Schaden an.

Die Ursache dafür ist laut Emsisoft ein Bug in der besagten Ryuk-Variante. Üblicherweise verschlüssele Ryuk Dateien, die größer als 54,4 MByte sind, nur in Teilen. Um dem Decryptor anzuzeigen, dass er in solchen Fällen auch nur bestimmte Parts entschlüsseln muss, schreibe Ryuk eine Angabe zur Zahl der verschlüsselten Bytes in die entsprechende Datei.

Der aktuelle Bug bewirke eine fehlerhafte Byte-Angabe, und in der Konsequenz trenne der von den Gangstern bereitgestellte Decryptor während der Entschlüsselung das letzte Byte der Datei ab. In manchen Fällen ist dies kein Problem; in anderen enthalten aber gerade die letzten paar Bytes einer Datei wichtige Informationen, so dass die betreffende Datei beschädigt ist.

Emsisoft bietet Nutzern, die den Ryuk-Gangstern in den letzten zwei Wochen auf den Leim gegangen sind, Hilfe an. Das Team fordert Betroffene dazu auf, es über die E-Mail-Adresse ryukhelp@emsisoft.com zu kontaktieren.

Unter Verwendung des von den Gangstern bereitgestellten (individuellen) Decryptors sind die Forscher nach eigenen Angaben in der Lage, ein funktionierendes Entschlüsselungstool für das jeweilige System zu basteln. Dieses lässt sich allerdings nur auf Dateien anwenden, die noch nicht durch den (für diese Variante "falschen") Decryptor der Gangster zerstört wurden. Ob Opfern durch Emsisofts Service weitere Kosten entstehen, geht aus dem Blogeintrag nicht hervor.

Emsisoft rät grundsätzlich dazu, vor der Anwendung eines Entschlüsselungstools ein Backup der verschlüsselten Dateien durchzuführen. Noch empfehlenswerter, ungleich preiswerter und nervenschonender ist allerdings grundsätzlich ein (regelmäßiges) Backup der unverschlüsselten Dateien.

Update 12.12.19, 16:22: Formulierung geändert (der Schaden ist natürlich nicht unumkehrbar - danke für den Hinweis!)

Mehr Infos

lost+found

Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.

Alle l+f Meldungen in der Übersicht

(ovw)