Mit einer neuen Windows-Applikation mit der Bezeichnung CryptoSearch soll es jetzt möglich sein, von erpresserischer Ransomware verschlüsselte Daten aufzuspüren und diese dann an ein gewünschtes Ziel für eine eventuelle, spätere Entschlüsselung zu verschieben.
CryptoSearch will Opfern von Ransomware helfen!
Ransomware macht leider immer wieder Schlagzeilen. Rechner werden infiziert und damit wichtige Daten einfach verschlüsselt. Gegen ein Entgelt von oft mehreren hundert Euro, bekommt man dann die Möglichkeit, wieder entschlüsseln zu lassen. Nur dann sind wichtige Daten wieder verfügbar.
Eine perfide Erpressungsmethode, welche offensichtlich schon länger ganz gut funktioniert. Natürlich unterstützt und bestärkt man mit jeder Zahlung die kriminellen Individuen. Ob man dann wirklich wieder Entschlüsseln kann oder vielleicht in kürzester Zeit erneut zum Opfer wird, lässt sich nie sicher sagen.
Ransomware kann man sich z.B. über kompromitierte Websites oder auch oft via E-Mail-Anhänge ungewollt auf den Rechner holen. Ist ein Gerät infiziert, muss das nicht sofort auffallen. Angreifer haben durchaus die Möglichkeit, den Schadcode zum Wunschtermin zu aktivieren.
Natürlich gibt es längst Ansätze, sich gegen die Erpressungs-Trojaner zu schützen. So einfach ist es offensichtlich aber nicht. Vielversprechend scheint das neu erschienene Tool CryptoSearch des Entwicklers Michael Gillespie zu sein. Damit lässt sich schon mal erkennen, ob der Rechner überhaupt infiziert ist.
Falls ja, können die ungewollt verschlüsselten Daten gesammelt und an einen anderen Ort verschoben werden. Das löst zwar das Problem nicht, aber man kann auf diese Daten zu einem späteren Zeitpunkt zugreifen, etwa wenn es eine Entschlüsselungsmöglichkeit von seriösen Sicherheitsexperten gibt.
CryptoSearch findet laut Entwickler unterschiedliche und über den gesamten PC verstreute Typen von Ransomware und bietet dem Opfer die Optionen entweder zum Kopieren oder zum Verschieben der Dateien an einen neuen Ort. Ist dann ein entsprechendes Backup dieser Daten vorhanden, kann der Rechner neu aufgesetzt werden und es lässt sich wieder mit einem sauberen und hoffentlich besser abgesicherten System arbeiten.
CryptoSearch arbeitet mit dem ID Ransomware Service zusammen, weshalb man bei Nutzung von CryptoSearch unbedingt mit dem Internet verbunden sein sollte. Das macht natürlich Sinn, weil nur so die aktuellen Definitionen und Signaturen von Ransomware genutzt werden können.
Noch befindet sich CryptoSearch in einem Beta-Status. Die Entwicklung schreitet aber fort und es soll künftig weitere Features geben. Erst kürzlich ist ein Offline-Modus für Computer ohne Internet-Zugang hinzugefügt worden.
Ein interessantes und kostenloses Werkzeug, welches auf der Seite von Bleepingcomputer unter https://www.bleepingcomputer.com/news/security/cryptosearch-finds-files-encrypted-by-ransomware-moves-them-to-new-location/ heruntergeladen werden kann. Dort sind außerdem aktuelle und auch tiefergehende Informationen zu CryptoSearch verfügbar. Ganz unten befindet sich ein Download-Link. Viele Browser werden eventuell eine Seite mit unerwünschter bzw. gefährlicher Software melden, weshalb die Seite hier auch nicht verlinkt ist.
Natürlich muss jeder Anwender selbst entscheiden, ob er dem Entwickler der Applikation vertraut. Es scheint sich um ein seriöses Tool zu handeln, trotzdem wird der Download vom Firefox zunächst verweigert. Wer bereits einen infizierten Rechner hat, kann es wohl wagen.