MalwareBytes: Decryptor für Ransomware TeleCrypt

    MalwareBytes - Der Decryptor für die Ransomware TeleCryptEine kosten­lose Soft­ware gegen die Ransom­ware TeleCrypt, welche die Telegram-API nutzt, hat das IT-Sicher­heits­unter­nehmen MalwareBytes heraus­ge­bracht. Das Tool kann die die schwache Ver­schlüsselung des Schad­programms knacken und so die Daten wieder zugänglich machen.

    TeleCrypt (Trojan-Ransom.Win32.Telecrypt) verfährt nach demselben Muster wie andere Verschlüsselungs-Trojaner: Die Software macht Dateien auf infizierten Rechnern unzugänglich. Anschließend wird für das Entschlüsseln ein Lösegeld verlangt.

    Eine Besonderheit von TeleCrypt ist, dass die Schadsoftware für die Kommunikation mit dem Command-and-Control-Server (C&C Server) ihrer "Schöpfer" nicht http verwendet, sondern das Messaging-Programm Telegram. Daher auch der Name der Ransomware. Entdeckt wurde TeleCrypt von Fachleuten des russischen IT-Security-Spezialisten Kaspersky.

    Gut für Opfer: keine starke Verschlüsselung

    Zum Glück für Opfer verwendet TeleCrypt keine allzu starke Verschlüs­selungs­methode. Deshalb gelang es Nathan Scott von MalwareBytes, ein Entschlüs­selungs­programm zu schreiben. Damit lassen sich von TeleCrypt verschlüsselte Files wieder zugänglich machen.

    Nicht nur bei TeleCrypt hat sich gezeigt, wie kreativ Cyber-Kriminelle mittlerweile vorgehen, um Ransomware auf Rechnern zu platzieren. Wie das IT-Security-Portal SecurityAffairs berichtet, wurde Ende November beispielsweise der Crypto-Locker Locky über Facebook-Nachrichten verteilt. Die Messages enthielten Bilddateien im SVG-Format (Scalable Vector Graphics).

    Neue Verbreitungs­methoden

    Die Angreifer nutzten einen JavaScript-Eintrag in XML-Textdateien, die ergänzende Informationen zu den SVG-Dateien enthalten. Wer ein solches Bild öffnete, landete auf Web-Seiten, über die ein Downloader von Locky auf seinem Rechner installiert wurde. In manchen Fällen tarnte sich diese Malware als "Codec", der angeblich zum Betrachten eines Youtube-Videos erforderlich war.

    TeleCrypt nutzt für die Kommunikation mit dem C&C-Server das Telegram-Protokoll.Dies ist zwar ein alter Trick, den Cyber-Kriminelle verwenden, um User zur Installation von Malware zu verleiten. Aber er funktioniert offenkundig immer noch.

    Tipp von WindowsPro-Leser: Infos zu Ransomware

    Hier noch ein Tipp von Andreas Funke, einem Leser von WindowsPro und Inhaber von EDV Funke: Er empfiehlt als Informationsquelle zum Thema Ransomware und Tools gegen Verschlüs­selungs-Trojaner diese Web-Seite. Sie bietet eine umfassende Übersicht über Erpressungs-Trojaner.

    Zudem sind dort Decryptor-Programme aufgelistet, mit denen sich verschlüsselte Dateien und Festplatten wieder entschlüsseln lassen. "Meinen Mitarbeitern hilft die Liste enorm bei der Identifizierung von Ransomware. Auch bei Fragen sind die Jungs des Projektes ziemlich hilfsbereit", so Andreas Funke.

    Das kostenlose Tool gegen TeleCrypt kann von dieser Web-Seite her­unter­geladen werden.

    Keine Kommentare