Ransomware ist eine üble Sache und wird immer häufiger gegen Privatpersonen und Unternehmen eingesetzt. Nun konnte die Ransomware Nanolocker geknackt werden, was aber nicht allen Betroffenen nützen wird und auch nicht so leicht umzusetzen ist.
Wer von Ransomware betroffen ist, der hat ein großes Problem. Entweder man bezahlt das Lösegeld und bekommt seine Dateien so wieder frei oder man kann in der Regel nicht mehr auf seine Dateien zugreifen. Daher lohnt es sich immer, regelmäßig Backups zu machen.
Ransomware kann geknackt werden
Die Ransomware Nanolocker wurde von Symantec erst Mitte dieses Monats entdeckt und sie machte bisher den Eindruck einer regulären Software dieser Art. Nun hat man allerdings einige Eigenheiten festgestellt, die Grund zur Hoffnung für diejenigen geben, die Opfer der Malware wurden.
Ein kanadischer Sicherheitsforscher entdeckte eine starke Ähnlichkeit zwischen Nanolocker und TeslaCrypt sowie AlphaCrypt. Beide funktionieren über ein AES-256-Verschlüsselungssystem. Die Schlüssel werden dabei in einer Datei gespeichert, bis der Verschlüsselungsprozess abgeschlossen ist. Anschließend wird diese Datei gelöscht, sodass sie für immer verloren ist. Nur, wenn man einen speziellen Key von den Hackern bekommt, kann man seine Dateien anschließend wieder entschlüsseln.
Die Verschlüsselung selbst durchläuft drei Phasen und während der ersten beiden hätte ein User theoretisch noch die Möglichkeit, den Key zu bekommen, sofern er die entsprechende Datei schnell genug findet. Das ist jedoch höchst unrealistisch. Allerdings gibt es eine weitere Methode. Bemerkt man am PC ein ungewöhnliches Verhalten. Etwa, dass er langsamer wird, so als würde er Schwerstarbeit leisten und es besteht der Verdacht, dass man sich Ransomware eingefangen hat, dann sollte man den PC schnell neu starten. Denn dann wird die Verschlüsselung unterbrochen und der Key bleibt in der Datei erhalten, sodass man diese in Ruhe suchen kann. Dann benötigt man noch eine Entschlüsselungssoftware, um die Dateien, die vermutlich bereits verschlüsselt wurden, wiederherzustellen. Die Datei, in der sich der Key befindet, ist meist hier zu finden: %LOCALAPPDATA%\lansrv.ini
Nachteil daran ist, dass man jede verschlüsselte Datei nur einzeln wieder entschlüsseln kann.
Quelle: Gulli
