Unser Expertenteam stieß Anfang des Monats auf zwei neue Malware-Familien, die sich über Exploits verbreiten: HydraCrypt und UmbreCrypt. Eine Schnelluntersuchung ergab, dass beide Familien eng mit der CrypoBoss-Ransomware-Familie verwandt sind, deren Quellcode letztes Jahr seinen Weg in PasteBin fand. Bei HydraCrypt und UmbreCrypt wurden einige Details in der Implementierung der Verschlüsselung verändert; trotzdem schafften wir es auf Grund des gleichen Fehlers, durch den wir letztes Jahr CrypoBoss knacken konnten, sowohl HydraCrypt als auch UmbreCrypt ein Schnippchen zu schlagen.
Leider werden durch die Änderungen der Schöpfer von HydraCrypt und UmbreCrypt bis zu 15 Byte am Dateiende unwiderruflich beschädigt. Allerdings sind bei den meisten Dateiformaten die letzten Bytes am Dateiende nicht von grundlegender Bedeutung oder lassen sich leicht durch Öffnen und Speichern der Dateien reparieren. Für andere Dateiformate gibt es ausgeklügeltere Reparaturmethoden und -werkzeuge.
Um den für Ihr System passenden Entschlüsselungskey zu bestimmen, benötigt das Entschlüsselungsprogramm ein wenig Hilfe von Ihnen. Suchen Sie nach einer beliebigen verschlüsselten Datei auf Ihrem System, für die Sie eine unverschlüsselte Version haben. Sollten Sie keine solchen Paare finden, suchen Sie nach einer verschlüsselten PNG-Datei und einer beliebigen PNG-Datei aus dem Netz. Wählen und ziehen sowohl die unverschlüsselten als auch verschlüsselten Dateien gleichzeitig auf die EXE-Datei des Entschlüsselungsprogramms. Sollte sich das verwirrend anhören, werfen Sie einen Blick auf diese kleine Animation:
Das Entschlüsselungsprogramm bestimmt dann den Entschlüsselungskey für Ihr System auf Grundlage der beiden bereitgestellten Dateien. Dieser Vorgang kann etwas Zeit in Anspruch nehmen. Bei meinem System dauerte es etwa einen Tag. Je nach System kann es sogar länger dauern; haben Sie also bitte etwas Geduld.
Sobald der Entschlüsselungskey bestimmt wurde, sehen Sie eine ähnliche Nachricht wie diese:
Klicken Sie einfach auf OK, und das Entschlüsselungsprogramm startet ganz normal. Sollten Sie allerdings eine Fehlermeldung erhalten, achten Sie bitte darauf, die korrekten Dateien zu verwenden. Sollten Sie dies getan haben, dann sind Sie entweder Opfer einer ganz anderen Malware-Familie oder einer neueren Variante, die unser Entschlüsselungsprogramm leider noch nicht unterstützt.
Alle Ordner, die Sie zur Ordnerliste hinzufügen, werden rekursiv entschlüsselt; d. h. Dateien in den Unterordnern des gewählten Ordners werden ebenso entschlüsselt.
In jedem Fall empfehlen wir Ihnen, das Entschlüsselungsprogramm zuerst mit einer begrenzten Anzahl Dateien zu testen und von Hand zu prüfen, ob diese Dateien korrekt entschlüsselt wurden, bevor Sie größere Mengen an Dateien entschlüsseln. So wird sichergestellt, dass das Entschlüsselungsprogramm den korrekten Key bestimmt; dies kann Ihnen auf lange Sicht viel Zeit und Mühe ersparen, falls sich herausstellen sollte, dass der Malware-Schöpfer den Verschlüsselungsalgorithmus bei einer neueren Variante geändert hat, den unser Entschlüsselungsprogramm nicht unterstützt.
Leider hinterlässt die Malware keinerlei Informationen über die ursprüngliche Datei. Das bedeutet, dass das Entschlüsselungsprogramm nicht mit Sicherheit bestimmen kann, ob das Ergebnis der Entschlüsselung korrekt ist. Aus diesem Grunde löscht das Entschlüsselungsprogramm nicht die verschlüsselten Dateien in Ihrem System. Ebenso heißt das, dass Ihre Festplatten vor dem Entschlüsseln über genügend Speicherplatz verfügen sollten. Sollte Ihnen der Speicherplatz ausgehen und Sie keine Möglichkeit haben, für Platz zu sorgen, dann kann das Entschlüsselungsprogramm die verschlüsselte Version der Datei nach ihrer Entschlüsselung löschen. Jedoch raten wir Ihnen dringend davon ab, diese Option zu verwenden.
Unser Entschlüsselungsprogramm für HydraCrypt und UmbreCrypt finden Sie hier:
http://emsi.at/DecryptHydraCrypt
Sollten Sie Hilfe beim Entschlüsseln benötigen oder das Entschlüsselungsprogramm nicht funktionieren, dann wenden Sie sich bitte einfach an unseren technischen Kundendienst.