Newsletter heise-Bot heise-Bot

Verschlüsselungstrojaner: Es gibt Hoffnung für BlackCat-Opfer

Stimmen die Voraussetzungen, können Opfer des Verschlüsselungstrojaner BlackCat wieder auf ihre Daten zugreifen.

In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen

(Bild: Rinrada_Tan/Shutterstock.com)

Lesezeit: 3 Min.
Security
Von
Inhaltsverzeichnis

Erpressungstrojaner wie BlackCat (aka ALPHV) oder Play verschlüsseln nur noch Teile einer Datei. Das geht schneller und verkleinert das Zeitfenster, in der Schutzsoftware Alarm schlagen kann. Doch dieser Ansatz bringt für die Erpresser auch Nachteile mit, wie das neue Entschlüsselungstool White Phoenix zeigt. Unter den richtigen Umständen können Opfer damit wieder auf ihre Daten zugreifen, ohne Lösegeld zahlen zu müssen.

Die partielle Verschlüsselung wurde erstmals im Sommer 2022 dokumentiert. Dabei verschlüsselt ein Trojaner nicht die komplette Datei, sondern nur noch Teile, wie etwa die ersten Bytes.

Nun haben Sicherheitsforscher von Cyberark ihr kostenloses Entschlüsselungstool White Pheonix (Download) vorgestellt. Stimmen die Voraussetzungen, soll es Teile einer verschlüsselten Datei wiederherstellen können, sodass Opfer ihre Dateien wieder öffnen können, führen die Sicherheitsforscher in einem Bericht aus. In ihrem Beispiel erläutern sie die Funktionsweise am BlackCat-Trojaner. Das Tool sollte aber auch in anderen Fällen helfen können.

Der Analyse der Sicherheitsforscher zufolge können Kriminelle bei BlackCat aus sechs Verschlüsselungsmodi wählen. So kann die Ransomware eine Datei in Chunks fester Größe aufteilen und nur diese Teile verschlüsseln. Es ist aber auch möglich, dass sich der Schädling nur alleinig über den Header einer Datei hermacht und den Rest der Datei unberührt lässt.

In ihrem Beispiel haben die Sicherheitsforscher mit ihrem Tool eigenen Angaben zufolge wieder Zugriff auf den Inhalt verschlüsselter PDF-Dateien bekommen. Eine PDF-Datei besteht einfach gesprochen aus den Teilen Header, Body und Footer. Da bei einer partiellen Verschlüsselung in der Regel nicht alle Teile betroffen sind, kann das Tool an bestimmten Teilen ansetzen, Daten auslesen und etwa Text rekonstruieren.

Das klappt beispielsweise, wenn nur der Header betroffen ist. Wenn die Original-Datei den Aufbau <Header 123> <Body 456> und <Footer 789> aufweist und die Verschlüsselung die Werte auf <Header 12> <Body 456> und <Footer 789> ändert, soll das Tool den Header-Eintrag wiederherstellen können. Klappt das, ist die Datei den Forschern zufolge komplett wiederhergestellt.

Das Tool soll mit den folgenden Ransomwares und Dateitypen funktionieren:

Erpressungstrojaner

  • BlackCat/ALPHV
  • Play ransomware
  • Qilin/Agenda
  • BianLian
  • DarkBit

Dateityp

  • PDF
  • Word formats: docx, docm, dotx, dotm, odt
  • Excel formats: xlsx, xlsm, xltx, xltm, xlsb, xlam, ods
  • PowerPoint formats: pptx, pptm, ptox, potm, ppsx, ppsm, odp
  • Zip

Tool ausprobieren

Auch wenn das Tool nicht immer Erfolg hat, sollten Opfer der genannten Verschlüsselungstrojaner es vorsichtshalber mit einer Sicherheitskopie, falls etwas schiefläuft, einer betroffenen Datei ausprobieren.

Auf der Website ID-Ransomware können Opfer von Erpressungstrojaner verschlüsselte Dateien hochladen und der Service teilt nach einer kurzen Analyse mit, ob es bereits ein Entschlüsselungstool gibt.

(des)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot