Nie wieder Lösegeld zahlen

25 Jul 2016

Letztes Jahr schlossen wir uns mit der niederländischen Strafverfolgung zusammen, um die Webseite NoRansom zu veröffentlichen, mit der Opfer der Ransomware CoinVault den Zugriff auf Ihre Daten wiederherstellen können. Später erweiterten wir die Webseite mit weiteren kostenlosen Tools, um verschlüsselte Dateien, die von anderen Verschlüsselern, wie TeslaCrypt, CryptXXX, u. ä. blockiert wurden, wiederherzustellen.

Heute machen wir einen weiteren großen Schritt auf unserem Kreuzzug gegen Ransomware. Zusammen mit der niederländischen Polizei, Europol, und Intel Security erstellten wir NoMoreRansom.org, eine Webseite, auf der wir eine weite Auswahl von Entschlüsselern, auf die überall zugegriffen werden kann, zusammenstellen möchten.

Den Anfang machen wir mit einem anderen Mittel gegen einen bestimmten Virus — damit Opfer der Ransomware Shade ihre Dateien wiederherstellen können. Es ist, wie alle anderen Lösungen, kostenlos.

Shade

Shade gehört zur Familie der Verschlüsselungs-Ransomware, die Anfang 2015 entwickelt wurde. Shade-Trojaner verwenden hauptsächlich schädlichen Spam oder Exploit-Kits. Letzteres ist die gefährlichste Methode, da ein Opfer keine Dateien öffnen muss — ein einziger Besuch einer infizierten Webseite reicht aus.

Wenn eine Ransomware in das System eines Opfers eindringt, stellt der Trojaner eine Anfrage auf einen Verschlüsselungs-Key vom Command-and-Control- (C&C) Server des Kriminellen — oder, sollte der Server nicht verfügbar sein, verwendet einen der Schlüssel, die im Voraus eingebettet wurden. Das heißt, dass selbst wenn der PC nicht mit dem Internet verbunden ist, die Ransomware direkt vom System ausgeführt wird.

Die Malware beginnt dann mit der Verschlüsselung der Daten. Sie betrifft mehr als 150 Formate, einschließlich Dateien, Bilder und Archive von Microsoft Office. Bei der Verschlüsselung fügt Shade dem Dateinamen die Erweiterungen .xtbl oder .ytbl hinzu. Sobald der Verschlüsselungsprozess abgeschlossen ist, erscheint eine Lösegeldforderung auf dem Bildschirm.

Als wenn die Verschlüsselung der Dateien nicht genug wäre, geht der Amoklauf der Ransomware weiter: Während das Opfer in Panik verfällt und nach einem Entschlüsseler — oder nach Lösegeld — sucht, lädt Shade weitere Malware auf den betroffenen PC herunter.

Erhalten Sie den kostenlosen Entschlüsseler

Wenn Sie unglücklicherweise Opfer von Shade geworden sind, haben wir gute Neuigkeiten für Sie: Wir können Ihnen den Versuch, ein Lösegeld zu zahlen, um Ihre verschlüsselten Dateien zurückzuerhalten, ersparen. Hier finden Sie, was zu tun ist:

1. Gehen Sie zu NoMoreRansom.org.

2. Scrollen Sie nach unten und finden Sie dort die zwei Buttons zum Herunterladen von Entschlüsselern. Sie können den Entschlüsseler von Intel Security oder Kaspersky Lab herunterladen. Die folgende Anleitung ist jedoch für unseren eigenen Entschlüsseler.

3. Entpacken Sie die heruntergeladene Datei, ShadeDecryptor.zip.

4. Führen Sie ShadeDecryptor.exe aus.

5. Klicken Sie im Fenster Kaspersky ShadeDecryptor auf Change Parameters.

6. Wählen Sie, welche Laufwerke das Programm nach verschlüsselten Dateien überprüfen soll.

7. Sie können im gleichen Fenster „Delete crypted files after decryption“ auswählen, aber das empfehlen wir nicht, bis Sie zu 100% sicher sind, dass Ihre Dateien wiederhergestellt wurden.

8. Klicken Sie auf „ОК“, um zum Hauptbildschirm zurückzukehren. Klicken Sie auf Start scan.

9. Wählen Sie im Fenster „Specify the path to one of encrypted files“ eine der verschlüsselten Dateien und klicken Sie auf „Open“.

10. Wenn das Programm die ID des Opfers nicht automatisch aufspüren kann, geben Sie den Dateipfad der Datei readme.txt genauer an, die hauptsächlich die Lösegeldforderung und die fragliche ID enthält.

Jetzt sollten Ihre Dateien entschlüsselt sein. Genießen Sie das Geld, dass Sie sich gespart haben! Und um sich zukünftig vor Ransomware-Angriffen zu schützen, verwenden Sie eine solide Sicherheitslösung, wie Kaspersky Internet Security. Zusätzliche Beratung zu Ransomware finden Sie in diesem Post.