Ein weiterer kostenloser Ransomware-Entschlüsseler wird veröffentlicht
Das Malware-Labor Emsisoft hat am 4. Juni ein kostenloses Entschlüsselungs-Tool auf den Markt gebracht, mit dem Opfer von Lösegeld-Tycoon-Angriffen verschlüsselte Dateien wiederherstellen können, ohne ein Lösegeld zu zahlen.
Forscher der BlackBerry-Sicherheitseinheit entdeckten erstmals Lösegeldforderungen. Auf thenewsspy.org gaben sie an, dass Tycoon ein Java-Dateiformat verwendet, das vor der Bereitstellung seiner Nutzlast, die die Dateien verschlüsselt, schwerer zu erkennen ist.
Das jüngste Opfer eines Lösegeldanschlags ist ein NASA-Auftragnehmer
Wie Tycoon funktioniert
Im Gespräch mit Cointelegraph sagte Brett Callow, ein Bedrohungsanalyst bei Emsisoft:
„Tycoon ist eine von Menschen betriebene Java-basierte Lösegeldforderung, die speziell auf kleinere Unternehmen abzielt und in der Regel durch einen RDP-Angriff implementiert wird. Java-basierte Lösegeldforderungen sind ungewöhnlich, aber sicherlich nicht einzigartig, warnte Microsoft letzten Monat vor einer weiteren Variante von Java-basierter Lösegeldforderung, PonyFinal.
In Bezug auf das Tool klärte Callow auch einige der Einschränkungen des kostenlosen Tools „Emsisoft Decryptor for RedRum“ auf:
„(…) das Tool funktioniert nur für Dateien, die mit der ursprünglichen Variante von Tycoon verschlüsselt wurden, nicht für Dateien, die mit einer der späteren Varianten verschlüsselt wurden, d.h. es funktioniert für Dateien mit der Endung .RedRum, aber nicht für Dateien mit der Endung .grinch oder .thanos. Leider ist die einzige Möglichkeit, Dateien mit diesen letzteren Endungen wiederherzustellen, die Zahlung des Lösegeldes.
Lösegeld-Angriffe betreffen drei Universitäten in den Vereinigten Staaten
Eine Multi-OS-Lösegeld-Software
Die BlackBerry-Forscher stellten fest, dass die Lösegeld-Software Tycoon sowohl auf Windows- als auch auf Linux-Computern ausgeführt werden kann, wobei die gleiche Technik der Anforderung von Zahlungen in Krypto-Währungen wie bei Bitcoin (BTC) verwendet wird.
Die neuesten Ergebnisse zeigen, dass Tycoon-Infektionen in erster Linie Bildungseinrichtungen und Softwarehäuser betreffen; BlackBerry-Forscher glauben, dass die tatsächliche Zahl der Infektionen „wahrscheinlich viel höher ist“.
Außerdem warnen sie davor, dass die neueren Versionen der Tycoon-Ransomware ihre Angriffskraft verbessert haben; früher konnten Entschlüsselungswerkzeuge verwendet werden, um Dateien von mehreren Opfern wiederherzustellen, was aber nicht mehr möglich ist.
Am 3. Juni hat ElevenPaths, die Cyber-Sicherheitseinheit des spanischen Telekommunikationskonzerns Telefónica, im Rahmen der internationalen „No more ransomware“-Initiative ein kostenloses Tool namens „VCrypt Decryptor“ zur Wiederherstellung von mit der Lösegeldforderung VCryptor verschlüsselten Daten entwickelt.