Lachhaft: Wenn Ransomware-Hacker um Aufmerksamkeit heischen


blog_main_decrypters

Cyberkriminalität wird in den verschiedensten Bereichen immer stärker. 2016 war jedoch wahrlich ein Jahr der Ransomware, in denen die wöchentlich auftauchenden neuen Versionen große Gewinne eingebracht haben. Das Malware-Labor von Emsisoft ist im täglichen Kampf dagegen ganz vorn mit dabei. Dabei müssen sich unsere Sicherheitsforscher von den Malware-Entwicklern oftmals viel anhören – von Gespött und Sticheleien bis hin zu Glückwünschen zum Cracken der Software eines Hackers. Anders sieht es da schon aus, wenn einer der Hacker Kontakt mit uns aufnimmt, um uns Entschlüsselungsschlüssel zu verkaufen.

Seit einiger Zeit sammelt Fabian Wosar, Sicherheitsforscher und CTO von Emsisoft, Entschlüsselungsschlüssel für die Ransomware von fs0ciety. Als ihm dann ein fs0ciety-Programmierer anschrieb, um ihm 200 Entschlüsselungsschlüssel für 10 Bitcoins zu verkaufen, endete das in einem amüsanten Austausch auf Twitter.

fabian_conversation

Wie BleepingComputer berichtet, haben Fabian Wosar und Michael Gillespie ihre Schlüsselsammlung eingesetzt, um die Dateien von Opfern kostenlos zu entschlüsseln.

„Das alles verlief im Hintergrund über das BleepingComputer-Forum (Thema: fs0ciety Locker Ransomware Help & Support), Twitter, die Emsisoft-Website sowie andere Foren und Support-Seiten.“

Die in der Malware enthaltene Schwäche werden wir hier nicht bekannt geben. Es sei jedoch so viel gesagt, dass „Fabian insgesamt 11.366 Schlüssel sammeln konnte, bevor der Ransomware-Entwickler seine Arbeit eingestellt hat.“

michael_twitter

Das Emsisoft-Labor arbeitet in Zusammenarbeit mit Michael Gillespie vom Malware Hunter Team. Er ist der Kopf hinter der Website ID Ransomware. Hier können Anwender mithilfe der individuellen Signaturen in ihrer Lösegeldforderung herausfinden, von welcher Art Ransomware sie Opfer wurden. Kürzlich hat er in einem Interview mit uns erklärt, mit welchen Verfahren sich Ransomware-Familien identifizieren lassen, etwa anhand des Dateinamens oder bestimmten bekannten E-Mail- oder Bitcoin-Adressen in der Lösegeldforderung. Auch das Namensmuster der verschlüsselten Dateien (z. B. eine bestimmte Erweiterung) oder von der Ransomware in den Dateien hinterlassene hexadezimale Muster geben Aufschluss auf die Version des Schädlings. Wurde die Familie identifiziert, lassen sich Schwächen erkunden, um den Opfern eine kostenlose Entschlüsselung bereitzustellen.

Sobald die Ransomware keine Bedrohung mehr darstellt, verliert sie ihre Wirkung. Wie in jedem profitablen Geschäft benötigen auch Hacker Abnehmer. Auf dem Online-Markt sorgen der Mangel an Medienaufmerksamkeit oder der Ruf schlechter Qualität auch bei Malware-Programmierern schnell dafür, dass sie von der Bildfläche verschwinden – bis sie eine neue veröffentlichungswürdige Version entwickelt haben.

Indem wir bereits mehrere Versionen geknackt haben, wurde Fabian nicht das erste Mal zum Ziel von Malware-Programmierern. Vor Kurzem wurde sogar eine eigene Version nach ihm benannt, als er wiederholt Anwendungen der Apocalypse-Familie crackte.

Eine direkte Kontaktaufnahme mit Sicherheitsforschern, wie in diesem Fall, zeugt neben dem offensichtlichen Ruf um Aufmerksamkeit fast schon von Verblendung. „Wir sind so intelligent und Furcht einflößend, dass nur wir die Lösung auf das von uns erstellte Problem bieten können.“ Das ist zum Glück nur selten der Fall. Die unermüdlichen Bemühungen des Emsisoft-Labors und anderer engagierter Mitstreiter, wie Michael Gillespie vom Malware Hunter Team, sowie die kostenlos angebotenen Tools zeigen, dass es immer eine Lösung gibt.

Wir wünschen Ihnen eine schöne (Malware-freie) Zeit!

 

Übersetzt von Doreen Schäfer

Senan Conrad

Weitere Artikel