{"id":24238,"date":"2020-06-15T12:02:48","date_gmt":"2020-06-15T10:02:48","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=24238"},"modified":"2020-06-15T12:02:48","modified_gmt":"2020-06-15T10:02:48","slug":"fake-djvu-ransomware-decryptor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/fake-djvu-ransomware-decryptor\/24238\/","title":{"rendered":"Zorab-Trojaner: Wenn sich Ransomware als Entschl\u00fcsselungs-Tool tarnt"},"content":{"rendered":"

Was tun Menschen, wenn sie merken, dass ihre Dateien von Ransomware verschl\u00fcsselt wurde?\u00a0 Zuerst wahrscheinlich in Panik geraten, gefolgt von Besorgnis und der verzweifelten Suche nach L\u00f6sungsm\u00f6glichkeiten, um die Daten wiederherzustellen, ohne dabei das L\u00f6segeld an die Angreifer zu zahlen (was ohnehin sinnlos w\u00e4re<\/a>). Die Opfer fragen wie \u00fcblich Google oder in sozialen Netzwerken um Rat. Das ist genau das, was die Sch\u00f6pfer des Zorab-Trojaners<\/a> wollen, nachdem sie die Malware in ein Tool eingebettet haben, das angeblich STOP\/Djvu-Opfern helfen soll.<\/p>\n

Gef\u00e4lschter STOP-Entschl\u00fcsseler als K\u00f6der<\/h2>\n

Tats\u00e4chlich haben die Cyberkriminellen beschlossen, die Situation von Opfern der Ransomware STOP\/Djvu zu verschlimmern. STOP\/Djvu verschl\u00fcsselt die Dateien der Opfer und weist ihnen je nach Version eine Erweiterung (.djvu, .djvus, .djvuu, .tfunde und .uudjvu) zu. Die Sch\u00f6pfer von Zorab haben ein Programm ver\u00f6ffentlicht, das diese Dateien angeblich entschl\u00fcsseln soll, sie aber in Wirklichkeit erneut verschl\u00fcsselt.<\/p>\n

Man kann in der Tat Dateien entschl\u00fcsseln, die durch fr\u00fchere Versionen von STOP kompromittiert wurden. Dazu hat Emsisoft im Oktober 2019 bereits ein Tool<\/a> ver\u00f6ffentlicht. Moderne Versionen verwenden jedoch einen zuverl\u00e4ssigeren Verschl\u00fcsselungsalgorithmus, den die aktuelle Technologie nicht knacken kann. Zumindest f\u00fcrs Erste gibt es also kein Entschl\u00fcsselungsprogramm f\u00fcr moderne Versionen von STOP\/Djvu.<\/p>\n

Wir sagen \u201ef\u00fcrs Erste\u201c, weil Entschl\u00fcsselungstools in einem von zwei F\u00e4llen auftauchen: entweder machen die Cyberkriminellen einen Fehler im Verschl\u00fcsselungsalgorithmus (oder verwenden einfach eine schwache Chiffre), oder die Polizei lokalisiert und beschlagnahmt ihre Server. Sicher, die Ersteller der Ransomware k\u00f6nnten die Schl\u00fcssel freiwillig ver\u00f6ffentlichen, aber das ist sehr weit hergeholt. Und selbst wenn sie es tun, m\u00fcssen Infosec-Unternehmen noch immer ein praktisches Programm erstellen, mit dem die Opfer ihre Daten wiederherstellen k\u00f6nnen. So haben wir im April dieses Jahres ein Entschl\u00fcsselungsprogramm f\u00fcr die durch die Shade-Ransomware verschl\u00fcsselten Dateien ver\u00f6ffentlicht<\/a>.<\/p>\n

Wie erkennt man, ob ein Entschl\u00fcsseler gef\u00e4lscht ist?<\/h2>\n

Es ist \u00e4u\u00dferst unwahrscheinlich, dass anonyme Samariter ein Entschl\u00fcsselungsprogramm erstellen und es auf einer unbekannten Website platzieren oder einen direkten Link in einem Forum oder sozialen Netzwerk bereitstellen. Echte Hilfsprogramme finden Sie auf den Websites von Infosec-Firmen oder auf spezialisierten Portalen, die sich der Bek\u00e4mpfung von Ransomware widmen, wie z.B. nomoreransom.org.<\/a> Tools, die anderswo gehostet werden, sollte man mit Misstrauen betrachten.<\/p>\n

Cyberkriminelle verlassen sich auf die Panik der Nutzer, da sie wissen, dass diese nach jedem Strohhalm greifen werden. Aber selbst wenn Sie glauben, dass ein Tool v\u00f6llig legitim ist, ist es wichtig, ruhig und objektiv zu bleiben und die Website ordnungsgem\u00e4\u00df zu \u00fcberpr\u00fcfen. Wenn Sie auch nur den geringsten Verdacht bez\u00fcglich der Legitimit\u00e4t haben, verwenden Sie das Tool bitte nicht.<\/p>\n

Wie man sich vor Zorab und anderer Ransomware sch\u00fctzt<\/h2>\n