Wird man zum Opfer einer Ransomware, kann man in den meisten Fällen nicht viel tun. Doch zum Glück schließen Polizei und Sicherheitsfirmen immer wieder Command-&-Control-Server der ein oder anderen Ransomware und erhalten dadurch wichtige Informationen. Diese Informationen sind nützlich, da sie helfen können, Entschlüsselungs-Tools zu entwickeln, mit denen die Opfer die von dem Schädling verschlüsselten Daten wieder herstellen können. Nun haben die niederländische Cyberpolizei und Kaspersky Lab so eine Lösung für die Opfer von CoinVault entwickelt.
Wenn Sie mehr über CoinVault erfahren möchten, finden Sie auf Securelist einen ausführlichen Bericht dazu. Und falls Sie interessiert, wie wir die Entschlüsselungslösung entwickelt haben, gibt es ebenfalls auf Securelist einen Blog-Beitrag dazu. Mit dieser Lösung können Sie die Ransomware loswerden und die verschlüsselten Dateien wieder herstellen – das geht so:
Schritt 1: Ist Ihr Computer mit CoinVault infiziert?
Zunächst sollten Sie sicherstellen, dass Ihre Dateien von CoinVault als Geiseln genommen wurden, nicht von einer anderen Ransomware. Das kann man recht leicht feststellen: Wenn Ihr Computer mit CoinVault infiziert ist, sehen Sie ein Bild wie das folgende:
Schritt 2: Speichern Sie die Bitcoin-Wallet-Adresse
Bei CoinVault sehen Sie unten rechts die Bitcoin-Wallet-Adresse (im oberen Bild mit einem schwarzen Kreis markiert). Es ist wichtig, dass Sie diese kopieren und speichern!
Schritt 3: Rufen Sie die Liste der verschlüsselten Dateien auf
In der oberen linken Ecke des CoinVault-Fensters sehen Sie den Knopf mit der Beschreibung „View encrypted filelist„ (im Bild oben mit einem blauen Kreis markiert). Klicken Sie auf diesen Knopf und speichern Sie die Liste in eine Datei.
Schritt 4: Entfernen von CoinVault
Gehen Sie auf die Seite https://kas.pr/kismd-cvault und laden Sie die Testversion von Kaspersky Internet Security herunter. Installieren Sie diese, denn sie entfernt CoinVault von Ihrem System. Stellen Sie vorher sicher, dass Sie die Informationen aus Schritt 2 und 3 gespeichert haben.
Schritt 5: Gehen Sie auf https://noransom.kaspersky.com
Auf der Webseite https://noransom.kaspersky.com müssen Sie nun die Bitcoin-Wallet-Adresse aus Schritt 2 eingeben. Wenn Ihre Bitcoin-Wallet-Adresse bekannt ist, werden IV und Schlüssel auf Ihrem Bildschirm erscheinen. Bitte beachten Sie, dass mehrere Schlüssel und IVs erscheinen können. In diesem Fall müssen Sie alle Schlüssel und IVs auf Ihrem Computer speichern, da Sie diese später benötigen.
Schritt 6: Laden Sie das Entschlüsselungs-Tool herunter
Laden Sie das Entschlüsselungs-Tool von https://noransom.kaspersky.com herunter und starten Sie es auf Ihrem Computer. Sollten Sie eine Fehlermeldung wie die folgende erhalten, gehen Sie bitte weiter zu Schritt 7. Wenn Sie keine Fehlermeldung erhalten, gehen Sie weiter zu Schritt 8.
Schritt 7: Herunterladen und Installieren zusätzlicher Libraries
Wenn Sie eine Fehlermeldung erhalten, gehen Sie bitte auf http://www.microsoft.com/en-us/download/details.aspx?id=40779 und folgen Sie den Anweisungen auf der Seite. Installieren Sie dann die Software.
Schritt 8: Starten des Entschlüsselungs-Tools
Starten Sie das Tool, anschließend sehen Sie folgenden Bildschirm:
Schritt 9: Prüfen Sie, ob die Entschlüsselung einwandfrei funktioniert
Wenn Sie das Tool zum ersten Mal verwenden, empfehlen wir Ihnen, die Verschlüsselung zu testen. Gehen Sie dafür wie folgt vor:
- Klicken Sie in der Box „Single File Decryption“ auf „Select File“ und wählen Sie eine Datei, die Sie entschlüsseln möchten
- Geben Sie die IV von der Webseite in den IV-Kasten ein
- Geben Sie den Schlüssel von der Webseite in den Key-Kasten ein
- Klicken Sie auf „Start“
Prüfen Sie, ob die neu erstellte Datei sauber entschlüsselt wurde.
Schritt 10: Entschlüsseln Sie alle von CoinVault gestohlenen Dateien
Wenn bei Schritt 9 alles ok war, können Sie nun all Ihre Dateien auf einmal wieder herstellen. Wählen Sie dazu die Dateiliste aus Schritt 3, geben Sie IV und Schlüssel ein und klicken Sie auf „Start“. Wenn Sie möchten, können Sie auch „Overwrite encrypted file with decrypted contents“ wählen, dann werden die verschlüsselten Dateien direkt mit den neu entschlüsselten Dateien überschrieben.
Stellen Sie kostenlos Dateien wieder her, die von der #CoinVault #Ransomware gestohlen wurden.
Tweet
Wenn Sie bei der Eingabe Ihrer Bitcoin-Wallet-Adresse mehrere IVs und Schlüssel erhalten haben, müssen Sie genau aufpassen. Derzeit können wir nicht sicher sagen, woher die mehrfachen IVs und Schlüssel für eine Bitcoin Wallet kommen. In diesem Fall empfehlen wir Ihnen, die Funktion „Overwrite encrypted file with decrypted contents“ nicht auszuwählen. Denn nur dann können Sie im Fall einer Fehlfunktion ein anderes IV-und-Schlüssel-Paar ausprobieren, bis die Entschlüsselung funktioniert hat.
Wenn Sie keine IV und Schlüssel erhalten haben, sollten Sie die Prüfung über https://noransom.kaspersky.com etwas später erneut ausführen. Momentan läuft die Untersuchung noch und wir werden weitere Schlüssel hinzufügen, sobald diese verfügbar sind.