Der Erpressungstrojaner ShrinkLocker nutzt Microsofts Bitlocker, um Windows-Systeme zu verschlüsseln. Ein Entschlüsselungstool hilft.
ShrinkLocker hat es auf Windows-PCs abgesehen, verschlüsselt Festplatten und erpresst Lösegeld. Nun haben Sicherheitsforscher von Bitdefender Schwachstellen in der Vorgehensweise der Ransomware entdeckt und für Opfer ein kostenloses Entschlüsselungstool veröffentlicht.
Vorgehensweise
Wie aus einer Analyse der Sicherheitsforscher hervorgeht, nutzt der PC-Schädling keinen Verschlüsselungsalgorithmus, sondern Microsofts legitimes Windows-Sicherheitsfeature Bitlocker, das Festplatten verschlüsselt. In diesem Fall kennen aber nur die Täter den zufällig generierten Schlüssel, den sie Opfern gegen eine Lösegeldzahlung anbieten.
Um das zu bewerkstelligen, nutzt ShrinkLocker den Forschern zufolge ein Visual Basic Script, dessen Code aber ziemlich veraltet und fehlerhaft sein soll. Darüber sollen die Angreifer Bitlocker-Konfigurationen modifizieren und dann Systemfestplatten verschlüsseln. Im Anschluss werden Opfer von einem Bitlocker-Bildschirm begrüßt, der zur Eingabe des Passworts zum Entschlüsseln hinweist. Über eine eingeblendete E-Mail-Adresse können Opfer die Angreifer für die Lösegeldzahlung kontaktieren. ShrinkLocker nutzt Group Policy Objects (GPOs) und geplante Aufgaben, um weitere Systeme im Netzwerk zu verschlüsseln. So können Angreifer ganze Domänen in Mitleidenschaft ziehen.
Kostenlos entschlüsseln
Bei der Analyse der Malware stießen die Forscher eigenen Angaben zufolge auf mehrere Fehler im Code. Ihr Tool setzt zur Datenwiederherstellung in einem bestimmten Zeitfenster im Bitlocker-Recovery-Modus an. Wie das im Detail funktioniert, steht im Beitrag der Forscher. Das Tool steht kostenlos zum Download. So können Opfer ohne Lösegeldzahlung wieder auf ihre Daten zugreifen.
Auf der Website ID-Ransomware können Opfer von Erpressungstrojanern prüfen, ob es für ihren Fall bereits ein kostenloses Entschlüsselungstool gibt.