2256771

Mac-Ransomware Findzip (OSX/Filecoder.E): Daten können entschlüsselt werden

02.03.2017 | 12:17 Uhr |

Malwarebytes stellt eine Methode vor, über die man mit der Ransomware verschlüsselte Daten wieder entschlüsseln kann.

Die kürzlich von Eset entdeckte Erpresser-Software Findzip, auch als OSX/Filecoder.E bekannt, verschlüsselt Daten auf einem Mac und verlangt Lösegeld für die Entschlüsselung. Aus Umsatzzahlen.xls wird dann beispielsweise die Datei Umsatzzahlen.crypt. Das anscheinend auf Tauschbörsen kursierende Schadprogramm tarnt sich als so genannter Patcher, der Adobe Premiere und Microsoft Office „freischaltet“. Laut Eset hat aber bisher niemand die verlangten Bitcoins gezahlt und Entschlüsselung durch den Erpresser scheint gar nicht möglich zu sein. Die befallenen Daten galten deshalb anfangs als verloren.

Nach einer Anleitung von Thomas Reed von Malwarebytes ist die Entschlüsselung einzelner Daten aber relativ gut möglich. Aufwendig ist dabei allerdings, dass man sich unter macOS zuvor eine Mac-Version des alten Entschlüsselungs-Tools pkcrack beschaffen muss.  Das ist leider nur durch eine eigenhändige Kompilierung möglich. Auf dem Mac muss also Xcode installiert sein, Ungeduldige könnten das Tool natürlich auch unter Windows verwenden.

Um die Entschlüsselung zu knacken, benötigt man eine Originaldatei und eine verschlüsselte Datei. Diese liefert die Malware sogar selbst, da sie auf Grund eines Programmierfehlers auch eine verschlüsselte Kopie von sich selbst generiert. Anhand dieser zwei Dateiversionen kann pckcrack nun in kürzester Zeit so genanntes Keys für die Entschlüsselung erstellen. Das Open Source-Tool nutzt eine so genannte Plaintext-Attacke um die vom Ransom-Autoren verwendete PkZip-Verschlüsselung zu knacken. Die genaue Vorgehensweise wird im Malwarebyte-Blog vorgestellt, das Auffinden der Schlüssel dauert nur wenige Minuten. Interessant finden wir die Anleitung vor allem, falls die Ransomware oder eine Variante noch einmal auftreten sollten.

0 Kommentare zu diesem Artikel
2256771