Schutzprogramme, Sicher & Anonym, Verschlüsselung & Datensicherheit

Erpressungstrojaner ThunderX: Kostenloses Entschlüsselungstool hilft Betroffenen

Die Ransomware zeigt Fehler in der Verschlüsselung – Sicherheitsforscher nutzen Sicherheitslücke für Hilfe-Software

Ransomwares verlangen Lösegeld. Für das Malware-Tool ThunderX gibt es jetzt eine Entschlüsselung
Sicherheitsforscher haben eine Entschlüsselungstool für ThunderX veröffentlicht.

Opfer des Malware ThunderX können aufatmen: Die Sicherheitsforscher von Tesorion haben ein kostenloses Entschlüsselungstool veröffentlicht. Eine Lösegeldzahlung ist damit nicht mehr nötig und befallene Dateien können befreit werden.

Sicherheitsforscher haben zwei Bugs dank der fehlerhaften Salsa20-Verschlüsselung von ThunderX entdeckt. So kommt es bei der Schlüsselgenerierung und beim Multi-Threading zu Fehlern. Wo genau nun das Entschlüsselungstool ThunderX Ransom ansetzt, haben Forscher zwar nicht ausgeführt, doch die beiden Bugs scheinen einen elementaren Teil bei der Entwicklung des Hilfetools gewesen zu sein.

Schnelle und effektive Hilfe

ThunderX ist Sicherheitsforschern bereits seit Ende August bekannt. Doch schon Ende September kam die Erlösung: Ein Entschlüsselungstool steht zur Verfügung. Das Tool können User auf der Plattform No More Ransom herunterladen. Dort gibt es noch unzählige weitere kostenlose Entschlüsselungstools und Anleitungen, wie man diese nutzt. Bei dem Projekt handelt es sich um eine Zusammenarbeit von unter anderem Kaspersky Europol und McAfee. Außerdem sind noch einige Hersteller von Anti-Viren-Software mit an Bord.

So arbeitet Ransomware

Wie herkömmliche Ransomware arbeitet auch ThunderX mit gängigen Techniken: Ist ein Endgerät von Ransomware befallen, werden Dateien verschlüsselt und erst nach einer Lösegeldzahlung wieder freigegeben – im besten Fall. Wie hoch das Lösegeld bei der Windows-Ransomware ThunderX ausfällt, sei bislang nicht bekannt, heißt es. Betroffene Dateien erkennt man an der Endung tx.locked. Für die Opfer heißt dies, dass die verschlüsselten Fotos oder Dokumente nicht mehr geöffnet werde können. Damit Opfer außerdem wenige Möglichkeiten auf Wiederherstellung haben, löscht ThunderX auch die Schttenkopien von Windows. Schattendateien könnten sonst dazu genutzt werden, ältere Dateien und ihre unverschlüsselten Versionen wiederherzustellen. Um die Bedrohung durch die Ransomware so hoch wie möglich zu halten, werden auch Datenfreigaben im Netzwerk befallen.

Bis hier sind dies ganz übliche Vorgänge, denen sich Ransomware bedient. Sicherheitsforscher haben bei ThunderX aber noch ein weiteres Modul entdeckt: Die Ransomware kann Dateien unwiderruflich zerstören. Ob dies bereits passiert ist, ist laut Sicherheitsforschern bis jetzt noch unklar.

 

Quelle: heise online Redaktion

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben