Zorab-Trojaner: Wenn sich Ransomware als Entschlüsselungs-Tool tarnt

Cyberkriminelle verbreiten Malware als getarntes STOP-Entschlüsselungstool.

Was tun Menschen, wenn sie merken, dass ihre Dateien von Ransomware verschlüsselt wurde?  Zuerst wahrscheinlich in Panik geraten, gefolgt von Besorgnis und der verzweifelten Suche nach Lösungsmöglichkeiten, um die Daten wiederherzustellen, ohne dabei das Lösegeld an die Angreifer zu zahlen (was ohnehin sinnlos wäre). Die Opfer fragen wie üblich Google oder in sozialen Netzwerken um Rat. Das ist genau das, was die Schöpfer des Zorab-Trojaners wollen, nachdem sie die Malware in ein Tool eingebettet haben, das angeblich STOP/Djvu-Opfern helfen soll.

Gefälschter STOP-Entschlüsseler als Köder

Tatsächlich haben die Cyberkriminellen beschlossen, die Situation von Opfern der Ransomware STOP/Djvu zu verschlimmern. STOP/Djvu verschlüsselt die Dateien der Opfer und weist ihnen je nach Version eine Erweiterung (.djvu, .djvus, .djvuu, .tfunde und .uudjvu) zu. Die Schöpfer von Zorab haben ein Programm veröffentlicht, das diese Dateien angeblich entschlüsseln soll, sie aber in Wirklichkeit erneut verschlüsselt.

Man kann in der Tat Dateien entschlüsseln, die durch frühere Versionen von STOP kompromittiert wurden. Dazu hat Emsisoft im Oktober 2019 bereits ein Tool veröffentlicht. Moderne Versionen verwenden jedoch einen zuverlässigeren Verschlüsselungsalgorithmus, den die aktuelle Technologie nicht knacken kann. Zumindest fürs Erste gibt es also kein Entschlüsselungsprogramm für moderne Versionen von STOP/Djvu.

Wir sagen „fürs Erste“, weil Entschlüsselungstools in einem von zwei Fällen auftauchen: entweder machen die Cyberkriminellen einen Fehler im Verschlüsselungsalgorithmus (oder verwenden einfach eine schwache Chiffre), oder die Polizei lokalisiert und beschlagnahmt ihre Server. Sicher, die Ersteller der Ransomware könnten die Schlüssel freiwillig veröffentlichen, aber das ist sehr weit hergeholt. Und selbst wenn sie es tun, müssen Infosec-Unternehmen noch immer ein praktisches Programm erstellen, mit dem die Opfer ihre Daten wiederherstellen können. So haben wir im April dieses Jahres ein Entschlüsselungsprogramm für die durch die Shade-Ransomware verschlüsselten Dateien veröffentlicht.

Wie erkennt man, ob ein Entschlüsseler gefälscht ist?

Es ist äußerst unwahrscheinlich, dass anonyme Samariter ein Entschlüsselungsprogramm erstellen und es auf einer unbekannten Website platzieren oder einen direkten Link in einem Forum oder sozialen Netzwerk bereitstellen. Echte Hilfsprogramme finden Sie auf den Websites von Infosec-Firmen oder auf spezialisierten Portalen, die sich der Bekämpfung von Ransomware widmen, wie z.B. nomoreransom.org. Tools, die anderswo gehostet werden, sollte man mit Misstrauen betrachten.

Cyberkriminelle verlassen sich auf die Panik der Nutzer, da sie wissen, dass diese nach jedem Strohhalm greifen werden. Aber selbst wenn Sie glauben, dass ein Tool völlig legitim ist, ist es wichtig, ruhig und objektiv zu bleiben und die Website ordnungsgemäß zu überprüfen. Wenn Sie auch nur den geringsten Verdacht bezüglich der Legitimität haben, verwenden Sie das Tool bitte nicht.

Wie man sich vor Zorab und anderer Ransomware schützt

  • Klicken Sie nicht auf verdächtige Links und führen Sie keine Dateien aus, wenn Sie der Quelle nicht vertrauen. Wenn Sie auf der Suche nach einem Entschlüsseler sind, sind die zuverlässigsten Quellen, und demnach auch der beste Startpunkt für ein solches Unterfangen, kaspersky.com, nomoreransom.org (ein gemeinsames Projekt mehrerer Unternehmen) und die Websites anderer Anbieter von Sicherheitslösungen. Wenn Sie ein Dienstprogramm anderswo finden, raten wir Ihnen dringend, die Legitimität seiner Autoren und der Website, auf der es veröffentlicht wurde, zu überprüfen, bevor Sie überhaupt daran denken, es zu verwenden.
  • Erstellen Sie Sicherheitskopien von wichtigen Dateien.
  • Verwenden Sie eine [KIS-Placeholder]zuverlässige Sicherheitslösung[/KIS-Placeholder], die bekannte Ransomware erkennt und andere Änderungsversuche aus unbekannter Herkunft an Ihren Dateien identifiziert und blockiert.

Für Unternehmen, die Ransomware fürchten, aber auf andere Schutzmaßnahmen angewiesen sind, bieten wir das eigenständige Kaspersky Anti-Ransomware Tool an. Es ist mit den meisten Sicherheitslösungen kompatibel und erkennt die Bedrohungen, die ihre Verteidigungslinien durchbrechen können.

Tipps