News 04.01.2016, 09:19 Uhr

Entschlüsselungs-Tool für Erpresser-Trojaner Gomasom

Für Opfer des Erpresser-Trojaners Gomasom hat Emsisoft nun ein Entschlüsselungs-Tool veröffentlicht, mit dem sich verschlüsselte Daten wiederherstellen lassen.
Normalerweise haben Opfer von Erpresser-Trojanern nur die Wahl, entweder auf ihre Daten zu verzichten oder das geforderte «Lösegeld» zu zahlen. Manchmal gelingt es Sicherheitsforschern aber, die Verschlüsselung zu knacken und ein Tool bereitzustellen, das die Daten wiederherstellt. Bei der Ransomware Gomasom ist dies Mitarbeitern von Emsisoft nun gelungen.
Gomasom ist eine vergleichsweise junge Malware, die nach erfolgreicher Infektion eines PCs Dateien und Dokumente verschlüsselt und dann für die Wiederherstellung ein Lösegeld fordert. Der Name ist eine Abkürzung für «Google Mail Ransom», weil Gomasom an jede verschlüsselte Datei eine Googlemail-Adresse hängt, an die das Opfer sich wenden soll, um wieder an seine Daten zu kommen.
Eine Besonderheit von Gomasom ist ausserdem, dass der Trojaner nicht nur beispielsweise Dokumente und Fotos verschlüsselt wie andere Ransomware, sondern auch ausführbare EXE-Dateien. Der PC-Besitzer verliert dadurch nicht nur den Zugriff auf seine Daten, sondern kann viele seiner Programme nicht mehr ausführen.
Das Entschlüsselungs-Tool DecryptGomasom vom Emsisoft macht dem Spuk aber schnell ein Ende. Nach dem Download müssen Sie eine verschlüsselte und eine unverschlüsselte Version einer Datei mit der Maus auf das Entschlüsselungs-Tool ziehen. Wenn Sie keine unverschlüsselte Version einer Datei mehr haben, weil Gomasom sie alle gelöscht hat, dann verwenden Sie eine verschlüsselte PNG-Datei von Ihrem Rechner und irgendeine unverschlüsselte PNG-Datei aus dem Internet.
Aus den Unterschieden zwischen den beiden Dateien errechnet das Tool per Bruteforce den Entschlüsselungs-Key. Der Vorgang kann je nach Stärke der verwendeten Verschlüsselung eine Weile dauern. Sobald der Key gefunden wurde, lassen sich damit die verschlüsselten Dateien wiederherstellen. Weitere Informationen in englischer Sprache finden sich hier.



Kommentare
Avatar
dave36
05.01.2016
Ich hatte mehrere Benutzeranfragen die mit Ransomware in Kontakt gekommen sind (Tesclacrypt, Cryptowall etc.). Wenn kein Backup vorhanden ist, bleibt meistens nur noch die Bezahlung in der Bitcoins-Währung. Eine Garantie gibt es nie, aber in zwei Fällen wo der Benutzer gezahlt hat, wurde der Schlüssel ausgehändigt. Sogar das FBI hat gesagt, wenn man unbedingt die Daten möchte, bleibt kein anderer Weg als zu zahlen. Zumindest bei Cryptowall und Teslacrypt. Ich kann es nicht genügend oft wiederholen. Macht Sicherungen eurer Daten!

Avatar
Gaby Salvisberg
05.01.2016
Sie empfehlen den Betroffen aber nicht wirklich, in so einem Fall zu bezahlen, oder? Natürlich nicht! Niemand, der bei Trost ist, würde solches «empfehlen». Entweder neu aufsetzen und Backup zurückspielen oder auf die Daten verzichten. Ich kann mir aber vorstellen, dass es Leute gibt, die das Gefühl haben, es gehe um Leben und Tod - und denen bleibt halt nichts anderes übrig, als zu zahlen, sofern ein Backup fehlt. Gruss Gaby

Avatar
HanFred
05.01.2016
Natürlich nicht! Niemand, der bei Trost ist, würde solches «empfehlen». Entweder neu aufsetzen und Backup zurückspielen oder auf die Daten verzichten. Ich kann mir aber vorstellen, dass es Leute gibt, die das Gefühl haben, es gehe um Leben und Tod - und denen bleibt halt nichts anderes übrig, als zu zahlen, sofern ein Backup fehlt. Gruss Gaby Dann bin ich ja beruhigt. ;) Wer unglaublich wichtige Daten auf dem Computer hat, der m acht ohnehin externe Backups... oder lernt etwas für die Zukunft daraus. Hoffe ich.