Erpresserische Schadsoftware: Neue Schadsoftware Synolocker und eine Lösungsmöglichkeit für Opfer von Cryptolocker

07.08.2014 - Die Landschaft von erpresserischer Schadsoftware ändert sich ständig. So ist in den letzten Tagen eine neue Schadsoftware mit dem Namen Synolocker aufgetaucht. Es gibt aber auch gute Nachrichten: Es wurde eine Lösung publiziert, wie man die von Cryptolocker verschlüsselten Daten wieder entschlüsseln kann.

Neue Schadsoftware namens „Synolocker“ im Umlauf

Die Melde- und Analysestelle Informationssicherung MELANI hat in den letzten Tagen mehrere Meldungen über eine erpresserische Schadsoftware namens Synolocker erhalten. Einmal infiziert, werden die Daten verschlüsselt und eine Geldforderung verlangt. Diese Methode erinnert sehr stark an die bereits bekannte Schadsoftware Cryptolocker. Im Gegensatz dazu richtet sich aber die Schadsoftware in diesem Fall nur an NAS-Nutzer (Network Attached Storage) der Firma Synology. Die bereits publizierten Empfehlungen zu Cryptolocker.

 

gelten auch hier. Insbesondere sollten Daten regelmässig auf externe Datenträger kopiert werden, die nur während dem Backupvorgang am Computer angeschlossen sind. Zudem sollten die verwendeten Medien z.B. wöchentlich oder monatlich gewechselt werden, so dass man mehrere Generationen des Backups auf verschiedenen Medien zur Verfügung hat.

Da mittlerweile bekannt ist, dass nur Synology NAS-Geräte mit älteren Betriebssystem-Versionen betroffen sind, wird dringend empfohlen, die neuesten Sicherheitsupdates einzuspielen. Generell empfiehlt MELANI darauf zu achten, dass immer die aktuellste Version des Betriebssystems eingesetzt wird. Synology hat mittlerweile ebenfalls Empfehlungen und ein Kontaktformular auf ihrer Webseite publiziert:

 

https://myds.synology.com/support/support_form.php?lang=us

Entschlüsselungs-Tool für Opfer von CryptoLocker verfügbar

Es gibt aber auch gute Nachrichten: Die IT-Sicherheitsdienstleister FireEye und Fox-IT haben einen Gratis Service zur Verfügung gestellt , der es Opfern von Cryptolocker ermöglicht, die durch die Schadsoftware verschlüsselten Daten wieder zurückzuerlangen. Wie in den Medien berichtet, hat das FBI bereits Anfangs Juni gegen das Cryptolocker Botnetzwerk Massnahmen ergriffen, doch es gibt noch zahlreiche Benutzer, deren Daten verschlüsselt sind

Der Service ist unter der Adresse https://www.decryptcryptolocker.com verfügbar. Für die Nutzung dieses Dienstes ist weder eine Bezahlung noch eine Anmeldung notwendig. Stellen Sie bei der Verwendung des Sevice sicher, dass Sie die korrekte, oben genannte URL aufrufen.

Die Vorgehensweise ist nachfolgend beschrieben:

  1. Zuerst wird eine verschlüsselte Datei von Ihrem Computer benötigt. Achten Sie darauf, dass diese keine sensiblen Informationen enthält.
  2. Diese Datei laden Sie auf die Plattform https://www.decryptcryptolocker.com hoch. Ausserdem ist eine E-Mail Adresse anzugeben, an welche die Resultate gesendet werden sollen.
  3. Sie erhalten danach eine E-Mail mit einem Schlüssel und einem Download-Link, um das Entschlüsselungs-Programm herunterzuladen, mit welchem Sie die Dateien entschlüsseln können.
  4. Starten Sie dieses Programm lokal auf ihrem Computer und geben Sie den Schlüssel ein.
  5. Die auf dem Computer vorhandenen verschlüsselten Dateien werden nun durch das Entschlüsselungs-Programm entschlüsselt.

Auch im Falle von Synolocker ist es nicht ausgeschlossen, dass durch Recherchen und Ermittlungen, die entsprechenden Kryptoschlüssel, wie im Fall von Cryptolocker, zu einem späteren Zeitpunkt sichergestellt werden können. So sollten allfällig bereits durch Synolocker verschlüsselte Daten auf jeden Fall aufbewahrt werden.

Die Melde- und Analysestelle Informationssicherung MELANI lehnt jede Haftung für allfällige Schäden beim Verwenden der von https://www.decryptcryptolocker.com angebotenen Software ab. Die Durchführung der oben beschriebenen Vorgehensweise erfolgt auf jeden Fall auf eigene Verantwortung.

Weiterführende Informationen

Letzte Änderung 07.08.2014

Zum Seitenanfang

https://www.melani.admin.ch/content/melani/de/home/dokumentation/newsletter/erpresserische-schadsoftware---neue-schadsoftware-synolocker-und.html