Opfer von Cryakl/Fantomas können nun aufatmen

Die belgische Polizei und Kaspersky Lab machen die Entschlüsselungs-Keys für die Ransomware Cryakl ausfindig

Unser No-More-Ransom-Projekt, das zur Unterstützung von Ransomware-Opfern dient, startet mit guten Neuigkeiten in die Woche: Die belgische Polizei konnte in Zusammenarbeit mit Kaspersky Lab an den Entschlüsselungs-Key zur Wiederherstellung von Dateien gelangen, die mit neuen Versionen der Ransomware Cryakl, auch unter dem Namen Fantomas bekannt, verschlüsselt wurden. Das aktualisierte Entschlüsselungstool steht bereits auf der Website des Projekts zum Download zur Verfügung.

How to decrypt files encrypted by the Shade ransomware

Was ist Cryakl?

Der Erpresser-Trojaner Cryakl (Trojan-Ransom.Win32.Cryakl) wurde zunächst über Archiv-Anhänge in E-Mails verteilt, die im Zusammenhang mit einem vermeintlichen Vergehen von einem Schiedsgericht zu stammen schienen. Obwohl viele von uns es eigentlich besser wissen (sollten), scheinen uns derartige Botschaften immer wieder dazu zu verleiten, auf die sich im Anhang befindenden Archive zu klicken. Im Falle von Cryakl wurden die E-Mails im Nachhinein diversifiziert und gaben sich als Nachrichten anderer Organisationen aus.

Wenn der Erpresser-Trojaner Dateien auf dem Computer eines Opfers verschlüsselt, erstellt Cryakl einen Key, der an einen C & C-Server (Command and Control) gesendet wird. Ohne diesen Schlüssel ist es nahezu unmöglich, von der Malware betroffene Dateien wiederherzustellen. Danach wird das Hintergrundbild des Desktops durch die Kontaktdaten der Entwickler und eine Lösegeldforderung ausgetauscht. Cryakl richtet sich hauptsächlich an Nutzer in Russland, daher sind Informationen über den Trojaner meist nur in russischer Sprache verfügbar.

Geschichte und Entwicklung von Ransomware

Erfolgsgeschichte

Wie bereits erwähnt, konnte durch die gemeinsamen Bemühungen unserer Experten und der belgischen Polizei der Masterkey ausfindig gemacht werden. Die Untersuchungen begannen, als die belgische Federal Computer Crime Unit (FCCU) auf belgische Opfer der Ransomware aufmerksam wurde und den C & C-Server in einem Nachbarland entdeckte. Bei einem Einsatz unter der Leitung der belgischen Staatsanwaltschaft konnte der Server neutralisiert werden. Danach kam auch Kaspersky Lab ins Spiel, um den Strafverfolgungsbehörden behilflich zu sein; und das nicht zum ersten Mal. Die Ergebnisse der Zusammenarbeit waren wie immer erstklassig: Unsere Experten halfen bei der Analyse der gefundenen Daten und extrahierten den Entschlüsselungscode.

Die Entschlüsselungs-Keys wurden dem RakhniDecryptor-Tool auf der No More Ransom-Website bereits hinzugefügt, und die belgische Bundespolizei ist nun offizieller Partner des Projekts. Das Projekt No More Ransom läuft bereits seit Juli 2016 und konnte bisher mehr als Zehntausenden Personen unentgeltliche Hilfe bei der Entschlüsselung von Dateien leisten, die durch Ransomware unbrauchbar gemacht wurden. Zudem konnte Cyberblackmailern potenzielle Beute im Wert von mindestens 10 Millionen Euro vorenthalten werden.

No More Ransom: Ein sehr erfolgreiches Jahr

So können Sie mit Cryakl verschlüsselte Dateien retten

Die No More Ransom-Website stellt zwei Tools zur Entschlüsselung von Dateien, die von Cryakl beschädigt wurden, zur Verfügung. Eines namens RannohDecryptor, das bereits seit 2016 gültig und für ältere Versionen von Cryakl gedacht ist. Sie können es bei NoMoreRansom.org herunterladen; Hinweise zur Entschlüsselung bekommen Sie hier.

Das zweite Tool, RakhniDecryptor, haben wir kürzlich aktualisiert, indem wir die Masterkeys der Server, die von der belgischen Polizei beschlagnahmt wurden, hinzugefügt haben. Diese stehen auf der gleichen Seite zum Download bereit; Anweisungen finden Sie hier. RakhniDecryptor wird benötigt, um Dateien zu entschlüsseln, die von neueren Crykal-Versionen betroffen sind. Eines der Tools sollte Cryakl-infizierte Dateien vollständig wiederherstellen.

So bleiben Sie auch in Zukunft geschützt

In Sachen Crypto-Ransomware ist Vorsicht immer besser als Nachsicht. Mit anderen Worten: Sie sollten lieber jetzt die richtigen Schutzmaßnahmen treffen, als sich im Nachhinein mit der Dateientschlüsselung herumärgern zu müssen. Deshalb möchten wir einige präventive Tipps zum Datenschutz mit Ihnen teilen:

  1. Bewahren Sie immer eine Kopie Ihrer wichtigsten Dateien an einem anderen Ort auf: in der Cloud, auf einem anderen Laufwerk, auf einem Speichermedium oder auf einem anderen Computer. Weitere Details zu Back-up-Möglichkeiten finden Sie hier.
  2. Verwenden Sie eine zuverlässige AV-Software. Einige Sicherheitslösungen – zum Beispiel Kaspersky Total Security – können auch bei der Dateisicherung helfen.
  3. Laden Sie keine Programme verdächtiger Quellen herunter. Die Installationsprogramme enthalten möglicherweise Dinge, die Sie lieber nicht auf Ihrem Computer haben möchten.
  4. Öffnen Sie keine E-Mail-Anhänge unbekannter Absender, auch wenn sie wichtig und glaubwürdig erscheinen. Im Zweifelsfall die Telefonnummer auf der offiziellen Website der Organisation nachsehen und anrufen, um nachzufragen.
Tipps