Der Nutzen von Entschlüsselungstools

Öffentlich zugängliche Ransomware-Decrypter: Segen oder Gefahr?

Uhr
von Thomas Uhlemann, Security Specialist, Eset

Decrypter sollen helfen, von Ransomware verschlüsselte Dateien wieder nutzbar zu machen. Zum Teil sind die Entschlüsselungstools frei im Internet zugänglich. Warum man trotzdem nicht alle Hoffnungen nur darauf setzen sollte, erklärt Thomas Uhlemann, Security Specialist bei Eset.

Die gute Nachricht vorneweg: Immer mehr Entschlüsselungstools ("Decrypter") helfen Ransomware-Opfern, halbwegs unbeschadet aus ihrer misslichen Lage herauszukommen. Doch ist das die lang erhoffte Rettung im Kampf gegen die Plage oder vielleicht sogar eine Hilfestellung für Kriminelle?

Täglich entdecken die Eset Viruslabs circa 600'000 neue Schadcodes. Ransomware macht davon nur einen Bruchteil aus, schafft es nicht einmal in die "Top 10". Auch wenn die Zahl der Angriffe sogar leicht rückläufig ist, schnellen die direkten Schäden durch Erpressungstrojaner weiter in die Milliardenhöhe. Die Attacke mit "NotPetya" allein hat weltweit nach konservativen Schätzungen einen Schaden von 10 Milliarden US-Dollar angerichtet. Das ist nur eine von hunderten sogenannten Malware-Familien.

Die Lösegeldforderungen an sich, die Aufräumkosten zur Wiederherstellung des Normalbetriebs, Vertrauensverlust und Schadenersatzforderungen der Kunden türmen sich ins Geschäftsschädigende. Sind die Daten erst einmal verschlüsselt und ist kein Backup-Plan zur Hand, suchen die Betroffenen nach Wegen, um die Lösegeldzahlung zu umgehen. Dank der Zusammenarbeit von Strafverfolgern, Antivirenherstellern und privaten Forschern bieten Seiten wie NoMoreRansom.org oder auch Hilfeseiten von IT-Security-Anbietern eine Reihe an kostenlosen Entschlüsselungstools. Sie sind jedoch nicht der "Heilige Gral" im Kampf gegen die digitalen Plagegeister. Decrypter können ihren Beitrag leisten und nützlich sein, bergen aber auch Nachteile.

Reaktive Decrypter mit begrenzter Wirkung

Die Entschlüsselungstools können immer erst entwickelt werden, wenn es bereits Opfer gibt. Das geschieht anhand mehrerer Kriterien. Dazu gehören das Schadensbild als solches, der Infektionsverlauf, die verwendete Verschlüsselungsmethode, die Art der verschlüsselten Dateien und vieles mehr. Gelingt dies, ist das natürlich ein grosser Erfolg, aber leider ist er nur von kurzer Dauer. Denn die Autoren von Ransomware agieren wie andere, legitime Softwareschmieden auch und reagieren auf Veränderungen am Markt. Bringt eine Variante der eingesetzten Malware-Familie keine "Erlöse" mehr, wird entweder eine neue Version entwickelt oder auf eine andere Art umgeschwenkt. Wenn Entschlüsselungstools aufgrund von veröffentlichtem Quellcode oder von Masterschlüsseln erstellt werden können, wird die begrenzte Lebensdauer besonders schnell klar.

Ein Decrypter kann immer nur eine spezielle Variante entschlüsseln, hat also nur eine begrenzte Wirkung. Es wäre fatal, all seine Hoffnung in öffentlich verfügbare Entschlüsselungsmethoden zu setzen.

Verräterische Decrypter

Unter gewissen Umständen erlauben Fehler in der Ransomware, Entschlüsselungstools zu erstellen. Dann müssen die Entwickler der Decrypter eine wohlüberlegte Entscheidung treffen: Soll das Rettungstool veröffentlicht werden oder nicht? Ist es für alle frei zum Download erhältlich, könnten die Kriminellen ihrerseits den Decrypter nutzen, um zu schauen, welche Fehler in ihrem Code ausgenutzt werden. Anschliessend wäre es ein Leichtes für sie, ihren Code entsprechend anzupassen. Es könnte Monate dauern, neue Schwachstellen in gefixter Ransomware zu finden – wenn überhaupt! Viele IT-Security-Hersteller haben tatsächlich eine Reihe unveröffentlichter Entschlüsselungstools in ihren virtuellen Schubladen, die sie nur auf Anfrage und nach eingehender Gefahrenabschätzung entsprechenden Opfern zur Verfügung stellen.

Die gute Nachricht dabei ist, dass es diese nicht öffentlichen Decrypter im Notfall gibt und sie eine längere Halbwertzeit haben als öffentlich verfügbare Entschlüsselungshelfer. Aber auch sie gelten in der Regel nur für bestimme Varianten von Malware-Familien, was den Wirkungsradius erneut begrenzt.

Das eigentliche Problem: Wenig Prävention

Dass man überhaupt in die Situation gerät, Decrypter nutzen zu müssen, lässt sich vermeiden. Technologische Massnahmen und regelmässige Schulungen aller Mitarbeiter und Chefetagen lassen die Gefahr, von Ransomware getroffen zu werden, enorm sinken. Leider wird IT-Security von den wenigsten als geschäftssichernder, lebendiger Prozess betrachtet. Viel zu oft – gerade im Mittelstand und der öffentlichen Verwaltung – wird sie als "notwendiges Übel" für Compliance-Checks betrachtet und mit entsprechend wenig Budget für Tools, Personal und dessen fortlaufende Schulungen bedacht. Noch seltener wird die Lieferkette, also Partner, Dienstleister (wie Cloud-Anbieter) und Kunden des Unternehmens, in die Security-Planung eingearbeitet. Die meisten von Ransomware betroffenen Unternehmen eint zudem, dass keine regelmässig überprüfte, hybride Backup-Strategie sowie konsequente Umsetzungen von Zero-Trust existieren.

Fazit

Decrypter an sich sind beides: der Tropfen auf dem heissen Stein und auch die Nadel im Heuhaufen. Sie können in Einzelfällen mit sehr viel Glück helfen, einer erfolgreichen Ransomware-Attacke den Schrecken zu nehmen. Als Allheilmittel sind sie aufgrund ihres begrenzten Wirkungsgrades sowie des enormen Entwicklungsaufwands untauglich.

Um der Ransomware-Plage und ihren dramatischen Folgen Herr zu werden, bedarf es dagegen kluge, zeitgemässe Strategien, Technologien und das Mitwirken aller Beteiligten am und im Unternehmen. Das alles existiert glücklicherweise bereits. Die Meldungen erfolgreicher Angriffe und hoher Schadenssummen sollten den Stellenwert der vorgenannten Massnahmen deutlich machen. Denn: Schützt man sich vor Ransomware, hat man in der Regel der Masse an anderem Schadcode ebenfalls erfolgreich einen Riegel vorgeschoben. Das spart Zeit, Geld und Nerven.

Webcode
DPF8_268178