Was verschlüsselt Gomasom?
Gomasom verschlüsselt nicht nur Dateien wie Bilder und Office Dateien, sondern auch ausführbare Dateien, was letztendlich dazu führt, dass auf dem PC keine Applikationen mehr ausgeführt werden können und der PC unbenutzbar wird.
Der Verbreitungsweg der Ransomware ist noch unklar, aber sobald der Rechner infiziert wird, legt sich die Schadsoftware eine zufällig benannte Datei unter „C:\Benutzer\User\AppData\Local\Microsoft Help\“ an und setzt für diese einen Autostart Eintrag, so dass sie beim Windows Start automatisch ausgeführt wird. Bei Ausführung scannt die Malware alle Laufwerke nach Daten und verschlüsselt diese. Dabei bennent sie die verschlüsselte Datei in das Format „originalnamen.erweiterung.!___eMail@gmail.com_.crypt“ um.
Gomasom hinterlässt keine Notiz, dass sie Dateien verschlüsselt hat — offenbar wird hier vom Benutzer erwartet, dass er eine Mail an die im kryptischen Dateinamen aufgeführte Google eMail Adresse schreibt, um weitere Instruktionen zu erhalten.
Hilfe kommt von Emsisoft
Der Emsisoft Sicherheitsexperte Fabian Wosar hat dazu ein Entschlüsselungstool entwickelt, das kostenlos von der Emsisoft Webseite geladen werden kann.
Um den Entschlüsselungs-Key zu finden, mit welchem Ihre Dateien wieder entschlüsselt werden können, benötigt das Tool im Optimalfall eine verschlüsselte Datei und das nicht verschlüsselte Original um daraus Ihren indiviuellen Key errechnen zu können. Sollten Ihre Original-Dateien gelöscht worden sein, so können Sie dem Tool auch ein verschlüsseltes PNG/JPG Bild, zusammen mit einem beliebigen anderen PNG/JPG Bild geben und daraus den Key mit welchem Ihre Dateien verschlüsselt wurden, errechnen lassen. Sobald das Tool den Entschlüsselungs-Key gefunden hat, kann dieser dazu benutzt werden, um alle Ihre Dateien wieder zu entschlüsseln.
Das Programm versucht nun, den Key zu errechnen, was einige Zeit in Anspruch nehmen kann. Sobald es einen Entschlüsslungs Key gefunden hat, präsentiert es diesen in einem neuen Fenster und durch Klick auf „OK“ kann der Entschlüsselungsprozess für die restlichen Dateien gestartet werden.
Da keine weiteren Informationen über die Vorgehensweise der Malware bekannt sind und sich das Tool nicht vollständig sicher sein kann, dass der verwendete Key zum entschlüsseln auch korrekt ist, werden die verschlüsselten Dateien nicht gelöscht, sondern verbleiben auf der Festplatte des Anwenders. Es wird dringend empfohlen, die entschlüsselten Dateien zu kontrollieren um sicherzustellen, dass diese auch korrekt decodiert wurden.
