Erpressungs-Trojanern auf der Spur – Sofort-Hilfe mit ID Ransomware

Erste auf Ransomware spezialisierte Plattform

Da es nie eindeutig erkennbar ist, welcher Verschlüsselungs-Trojaner die Daten kapert und blockiert, hat der Sicherheitsforscher Demonslay335 die Webseite ID Ramsonware an den Start gebracht, die verspricht, Erpressungs-Trojaner kostenlos eindeutig zu identifizieren.

Heise hat das Tools durch zuletzt unter die Lupe genommen und festgestellt, dass zurzeit 52 Verschlüsselungs-Trojaner identifizierbar sind. Der erste Test erbrachte die Erkenntnis, dass TeslaCrypt 2 nur über den Upload einer verschlüsselten Datei identifiziert werden konnte.

So funktioniert die Suche nach Lösegeld-Trojanern

Die ID Ransomware-Seite bietet zwei Analyse-Möglichkeiten: Untersuchung der Lösegeld-Datei oder der verschlüsselten Datei. Erkennt das Tool den Lösegeld-Trojaner, nennt es den Namen und Informationen über ggf. verfügbare Entschlüsselungs-Tools verfügbar sind. Zusatz-Informationen erhalten User auf Bleepingcomputer.com. BC begann 2004 als technische Hilfe-Seite und hat sich als führendes Forum von Freiwilligen und Experten für Trojaner-Bekämpfung, Anti-Spyware und Anti-Malware fest etabliert.

Folgende Schritte für die Analyse sollten durchgeführt werden:

• Webseite ID Ransomware aufrufen
• Erpresser-Botschaft  hochladen über Ransom Note
• Die verschlüsselte Datei hochladen über Sample Encrypted File
• Über Upload die Analyse starten.

Technische Details: Die Dateiübertragung ist https-verschlüsselt, die Datei wird mit einer Signatur-Datenbank verglichen und sofort gelöscht. Nach Angaben von Demonlay335 kann jedoch keine 100-prozentige Vertraulichkeit gegeben werden. Der Grund: Die Daten werden temporär auf einem gemeinsamen Host gespeichert. Last but least: Wenn das Ergebnis der Analyse negativ ausfällt, können die Daten gleichwohl Sicherheitsexperten zur Verfügung gestellt werden.