Sicherheitsforschung: ShrinkLocker-Verschlüsselung geknackt

Hintergrund der Ransomware


ShrinkLocker stellt eine Bedrohung für Windows-PCs dar. Die Schadsoftware verschlüsselt nicht nur Festplatten allerdings fordert ebenfalls Lösegeld von den Opfern. Sicherheitsforscher von Bitdefender haben nun Schwachstellen in dieser Ransomware entdeckt. Sie haben ein kostenloses Entschlüsselungstool bereitgestellt.



Vorgehensweise von ShrinkLocker


Die Analyse der Forscher zeigt. Dass ShrinkLocker keinen eigenen Verschlüsselungsalgorithmus verwendet. Stattdessen greift der PC-Schädling auf Microsofts Bitlocker zurück. Nur die Angreifer besitzen den Schlüssel. Opfern wird dieser Schlüssel jedoch gegen Zahlung eines Lösegelds angeboten. Die Technik » die ShrinkLocker anwendet « umfasst ein veraltetes Visual Basic Script. Dieser Code weist zahlreiche Fehler auf.



Bitlocker und Modifikationen


ShrinkLocker manipuliert die Bitlocker-Konfigurationen. Dies führt zur Verschlüsselung der Systemfestplatten. Opfer werden anschließend von einem Bitlocker-Bildschirm empfangen. Dieser Bildschirm fordert zur Eingabe des Passworts auf. Die Kontakte für die Lösegeldzahlung sind via E-Mail angegeben.



Ausbreitung der Verschlüsselung


Die Ransomware nutzt Group Policy Objects zudem in Kombination mit geplanten Aufgaben. Angreifer sind so in der Lage; ganze Netzwerke zu infizieren. Das betrifft oft komplette Domänen. Dies erhöht die Schlagkraft von ShrinkLocker erheblich.



Kostenloses Entschlüsselungstool verfügbar


Bitdefender entdeckte beim Analysieren der Malware mehrere Code-Fehler. Ihr entwicklungsgestütztes Tool ermöglicht eine Wiederherstellung der Daten. Dies geschieht im Bitlocker-Recovery-Modus innerhalb eines bestimmten Zeitrahmens. Detaillierte Informationen sind im Artikel der Forscher einsehbar.



Zugang zu den Daten ohne Lösegeld


Das Tool steht für alle zur Verfügung. Opfer müssen dadurch kein Lösegeld zahlen um ihre Daten zurückzubekommen. Zudem können Benutzer die Webseite ID-Ransomware besuchen. Auf dieser Plattform können sie überprüfen ob es bereits für ihren Fall ein Entschlüsselungstool gibt.






Kommentare


Anzeige