Malwarebytes fand Entschlüsselungsmethode
Es waren die IT-Experten von Malwarebytes, die eine Methode gefunden haben, wie man die mit Ransomware verschlüsselten Daten wieder entschlüsseln kann, wie macwelt.de dazu ausführte. Mit der Verschlüsselung der Erpresser-Software Findzip, auch als OSX/Filecoder.E bekannt, werden Datei aus .xls zu .crypt Dateien umgewandelt.
Wie weiter verlautet, tarnt sich das Schadprogramm, das offensichtlich auf Tauschbörsen unterwegs ist, als so genannter Patcher, der Adobe Premiere und Microsoft Office „freischaltet“. Wie die ESET-Forscher herausfanden soll noch niemand das in Bitcoins geforderte Lösegeld gezahlt haben. Auch scheint eine Entschlüsselung seitens der Erpresser gar nicht möglich zu sein. Man betrachtete die Daten bislang als verloren.
Die Entschlüsselungsmethode
Die Anleitung zur Entschlüsselung stammt von Thomas Reed von Malwarebytes. Einzelne Daten sollen damit relativ gut entschlüsselbar sein. Offenbar eine aufwendige Sache, wie es weiter dazu heißt. Man benötigt eine Mac-Version des alten Entschlüsselungs-Tools pkcrack, was nur durch eine eigenhändige Kompilierung möglich ist. Auf dem Mac muss also Xcode installiert sein, man kann das Tool natürlich auch unter Windows verwenden.
Um die Entschlüsselung zu knacken, benötigt man eine Originaldatei und eine verschlüsselte Datei. Diese liefert die Malware sogar selbst, da sie auf Grund eines Programmierfehlers auch eine verschlüsselte Kopie von sich selbst generiert. Anhand dieser zwei Dateiversionen kann pckcrack nun in kürzester Zeit so genanntes Keys für die Entschlüsselung erstellen. Das Open Source-Tool nutzt eine so genannte Plaintext-Attacke, um die vom Ransom-Autoren verwendete PkZip-Verschlüsselung zu knacken.
Weiterführende Links:
blog.malwarebytes.com: Mac ransomware on piracy sites
macwelt.de: Mac-Ransomware Findzip (OSX/Filecoder.E): Daten können entschlüsselt werden
