Entschlüsselungs-Tool für Erpresser-Trojaner Gomasom

Für Opfer des Erpresser-Trojaners Gomasom hat Emsisoft nun ein Entschlüsselungs-Tool veröffentlicht, mit dem sich verschlüsselte Daten wiederherstellen lassen.

von Andreas Fischer 04.01.2016

Normalerweise haben Opfer von Erpresser-Trojanern nur die Wahl, entweder auf ihre Daten zu verzichten oder das geforderte «Lösegeld» zu zahlen. Manchmal gelingt es Sicherheitsforschern aber, die Verschlüsselung zu knacken und ein Tool bereitzustellen, das die Daten wiederherstellt. Bei der Ransomware Gomasom ist dies Mitarbeitern von Emsisoft nun gelungen.

Gomasom ist eine vergleichsweise junge Malware, die nach erfolgreicher Infektion eines PCs Dateien und Dokumente verschlüsselt und dann für die Wiederherstellung ein Lösegeld fordert. Der Name ist eine Abkürzung für «Google Mail Ransom», weil Gomasom an jede verschlüsselte Datei eine Googlemail-Adresse hängt, an die das Opfer sich wenden soll, um wieder an seine Daten zu kommen.

Eine Besonderheit von Gomasom ist ausserdem, dass der Trojaner nicht nur beispielsweise Dokumente und Fotos verschlüsselt wie andere Ransomware, sondern auch ausführbare EXE-Dateien. Der PC-Besitzer verliert dadurch nicht nur den Zugriff auf seine Daten, sondern kann viele seiner Programme nicht mehr ausführen.

Gomasom entschlüsselt: Das Decrypt-Tool stellt verschlüsselte Dateien wieder her. Gomasom entschlüsselt: Das Decrypt-Tool stellt verschlüsselte Dateien wieder her. Zoom© Emsisoft

Das Entschlüsselungs-Tool DecryptGomasom vom Emsisoft macht dem Spuk aber schnell ein Ende. Nach dem Download müssen Sie eine verschlüsselte und eine unverschlüsselte Version einer Datei mit der Maus auf das Entschlüsselungs-Tool ziehen. Wenn Sie keine unverschlüsselte Version einer Datei mehr haben, weil Gomasom sie alle gelöscht hat, dann verwenden Sie eine verschlüsselte PNG-Datei von Ihrem Rechner und irgendeine unverschlüsselte PNG-Datei aus dem Internet.

Aus den Unterschieden zwischen den beiden Dateien errechnet das Tool per Bruteforce den Entschlüsselungs-Key. Der Vorgang kann je nach Stärke der verwendeten Verschlüsselung eine Weile dauern. Sobald der Key gefunden wurde, lassen sich damit die verschlüsselten Dateien wiederherstellen. Weitere Informationen in englischer Sprache finden sich hier.


    Kommentare

    • HanFred 04.01.2016, 16.50 Uhr

      Normalerweise haben Opfer von Erpresser-Trojanern nur die Wahl, entweder auf ihre Daten zu verzichten oder das geforderte «Lösegeld» zu zahlen. Sie empfehlen den Betroffen aber nicht wirklich, in so einem Fall zu bezahlen, oder? Für die Entschlüsselung gibt es keine Garantie und wer tatsächlich bezahlt, weckt allenfalls Begehrlichkeiten.

    • dave36 05.01.2016, 08.28 Uhr

      Ich hatte mehrere Benutzeranfragen die mit Ransomware in Kontakt gekommen sind (Tesclacrypt, Cryptowall etc.). Wenn kein Backup vorhanden ist, bleibt meistens nur noch die Bezahlung in der Bitcoins-Währung. Eine Garantie gibt es nie, aber in zwei Fällen wo der Benutzer gezahlt hat, wurde der Schlüssel ausgehändigt. Sogar das FBI hat gesagt, wenn man unbedingt die Daten möchte, bleibt kein anderer Weg als zu zahlen. Zumindest bei Cryptowall und Teslacrypt. Ich kann es nicht genügend oft wieder[...]

    • Gaby Salvisberg 05.01.2016, 15.09 Uhr

      Sie empfehlen den Betroffen aber nicht wirklich, in so einem Fall zu bezahlen, oder? Natürlich nicht! Niemand, der bei Trost ist, würde solches «empfehlen». Entweder neu aufsetzen und Backup zurückspielen oder auf die Daten verzichten. Ich kann mir aber vorstellen, dass es Leute gibt, die das Gefühl haben, es gehe um Leben und Tod - und denen bleibt halt nichts anderes übrig, als zu zahlen, sofern ein Backup fehlt. Gruss Gaby

    weitere Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.