Decoder-Tool jetzt für alle TeslaCrypt-Versionen

Vor ungefähr einem Monat wurde der Master Key zur Dechiffrierung von TeslaCrypt öffentlich zugänglich gemacht und diesem so erfolgreichen Erpresserprojekt somit ein Ende bereitet. Seither wurden einige Decodierer entwickelt, die in der Lage sind, von TeslaCrypt gekaperte Dateien zu entschlüsseln. Kaspersky Lab hat zum Beispiel sein Tool Rakhni aktualisiert und ihm Entschlüsseler für Bitman (TeslaCrypt) der Versionen 3 und 4 hinzugefügt. In der vergangenen Woche führte Cisco ein analoges Update durch; auch der Decodierer dieses Unternehmens funktioniert nun bei allen Versionen dieser Ransomware, von denen es vier gibt.

Laut Aussage von Senior Analyst Earl Carter von Cisco Talos, wurde der am 19. Mai veröffentlichte Master Key benutzt, um Dateien wiederherzustellen, die zuvor mit TeslaCrypt der Versionen 3 und 4 verschlüsselt worden waren. „Wir sind sicher, dass [der Master Key] auch bei den vorhergehenden Versionen funktioniert“, kommentiert der Forscher. „Die Version 2 erwies sich als defekt und wurde dechiffriert, und obendrein hatten wir den Decoder für die Originalversion. Wegen all dieser unterschiedlichen Decodierer musste der Nutzer selbst herausfinden, mit welcher Version des Schädlings er infiziert ist, und dann das für ihn passende Entschlüsselungstool auswählen. Wir haben das ursprüngliche Tool so aktualisiert, dass es nun alle Versionen umfasst.“

Der Grund, aus dem der Betreiber von TeslaCrypt sich dazu entschlossen hat, sein Projekt einzustampfen, bleibt bis heute ein Rätsel. Ransomware-Attacken auf Businessstrukturen und individuelle Nutzer gehen unvermindert weiter; allein im ersten Quartal brachten sie ihren Initiatoren laut Einschätzungen des FBI insgesamt über 200 Millionen Dollar in Form von Lösegeldzahlungen ein, und zum Ende des Jahres könnte diese Zahl bereits eine Milliarde übersteigen. Trotzdem war TeslaCrypt – als einer der Beteiligten an diesem gewinnbringenden Schema – nicht frei von Fehlern, die schon von Anfang an von Forschern genutzt wurden, um im Code Schlüssel zur Dechiffrierung zu suchen und Tools zu entwickeln, die den Infektionsopfern helfen.

So gab es bald ein Katz-und-Maus-Spiel: Die Cybergangster verkomplizierten die Verschlüsselung in ihren Machwerken immer weiter und die Forscher gruben auf der Suche nach einem Gegengift immer tiefer. „Einige von ihnen wenden symmetrische Verschlüsselung an, und in diesem Fall kann man auf der Stelle den Schlüssel finden und die Dateien dechiffrieren“, sagt Carter. „Andere nutzen eine Öffentlicher-Schlüssel-Infrastruktur (PKI), und die Dateien in so einem Fall wiederherzustellen ist wesentlich schwieriger, in erster Linie deshalb, weil der Schlüssel nicht auf der infizierten Maschine gespeichert wird.“

Sobald ein Decodierer für eine der Variationen entwickelt wird, beginnen auch andere Forscher ihre Anstrengungen in diese Richtung zu bündeln. Es ist durchaus möglich, dass darin der Grund für das Ende der TeslaCrypt-Operationen liegt.

„Ransomware ist ein einträgliches Geschäft, und jeder Beteiligte möchte ein Stück vom Kuchen abhaben“, erläutert Carter. „Da alle [TeslaCrypt]-Versionen letztlich dechiffriert werden konnten, drängt sich der Eindruck auf, dass sie nicht so rentabel waren, wie ihre Betreiber sich erhofft hatten. Das mit Sicherheit zu behaupten, ist natürlich schwierig, denn es fehlt uns an tatsächlichen Beweisen. Doch auf den ersten Blick sieht es genau so aus. Immer wieder ist es gelungen, ihre Software zu zerlegen, die Einnahmen entsprachen nicht den Erwartungen und so haben sie das Projekt schließlich eingestampft.“

Der Master Dechiffrierungsschlüssel von TeslaCrypt wurde im Forum des Technischen Supports des Schädlings veröffentlicht, nachdem ein Forscher von ESET Anzeichen dafür entdeckt hatte, dass die Operationen eingestellt werden und nach dem Schlüssel fragte. Den Platz von TeslaCrypt könnte CryptXXX einnehmen – ein Schädling, der laut BleepingComputer bereits mit Hilfe populärer Exploit-Packs in Umlauf gebracht wird. Einige IT-Sicherheitsunternehmen, darunter auch Kaspersky Lab, verfolgen die Entwicklung von CryptXXX hartnäckig und haben sogar einen Decodierer für dessen frühe Versionen entwickelt.

Das in TeslaCrypt umgesetzte Verschlüsselungssystem wurde regelmäßig aktualisiert, um den Forschern keine Möglichkeit zur Dechiffrierung zu bieten. Zu Beginn des Jahres wurde der Schädling über WordPress- und Joomla-Redirects und mit Hilfe des Exploit-Packs Nuclear verbreitet. Im April entdeckten Experten bei Endgame zwei neue Samples dieser Ransomware, die mit zusätzlichen Obfuskations- und Verbergungsmethoden ausgestattet waren, sowie mit einer verlängerten Liste von Dateierweiterungen. Zu diesem Zeitpunkt wurde TeslaCrypt bereits via Spam-Versendungen verbreitet.

„Anstelle von Keyloggern und Klickern verbreiten Exploit-Packs nun Erpresser-Schädlinge“, stellt Carter fest. „Die Kombination aus Exploit-Pack und schädlicher Werbung erleichtert den Angreifern ihre Aufgabe deutlich.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.