Entschlüsslung für “Gomasom” – Ransomware möglich

Für die erst seit kurzem aufgetauchte Gomasom Ransomware ist ein Entschlüsslungstool verfügbar.

Fabian Wosar, Sicherheitsforscher bei Emsisoft, hat ein Tool geschrieben, welches die Verschlüsselung der Ransomware “Gomasom” wieder aufheben kann.
Gomasom  (GOogle MAil ranSOM), wurde so benannt da er an die infizierten Files eine Google Adresse hängt, an die das Opfer eine Email schicken soll, um Anleitungen zum Bezahlen des “Lösegeldes” und zum späteren entschlüsseln zu erhalten.

Gomasom verschlüsselt nicht nur Dateien wie Bilder und Office Dateien, sondern auch ausführbare Dateien, was letztendlich dazu führt, dass auf dem PC keine Applikationen mehr ausgeführt werden können und der PC unbenutzbar wird.
Der Verbreitungsweg der Ransomware ist noch unklar, aber sobald der Rechner infiziert wird, legt sich die Schadsoftware eine zufällig benannte Datei unter “C:\Benutzer\User\AppData\Local\Microsoft Help\” an und setzt für diese einen Autostart Eintrag, so dass sie beim Windows Start automatisch ausgeführt wird.  Bei Ausführung scannt die Malware alle Laufwerke nach Daten und verschlüsselt diese. Dabei bennent sie die verschlüsselte Datei in das Format “originalnamen.erweiterung.!___eMail@gmail.com_.crypt” um.
Gomasom hinterlässt keine Notiz, dass sie Dateien verschlüsselt hat – offenbar wird hier vom Benutzer erwartet, dass er eine Mail an die im kryptischen Dateinamen aufgeführte Google eMail Adresse schreibt, um weitere Instruktionen zu erhalten.

Abilfe schafft hier das Tool von Fabian Woser, welches von der Emsisoft Webseite kostenlos heruntergeladen werden kann.
Um den Entschlüsselungs-Key zu finden, mit welchem Ihre Dateien wieder entschlüsselt werden können, benötigt das Tool im Optimalfall eine verschlüsselte Datei und das nicht verschlüsselte Original um daraus Ihren indiviuellen Key errechnen zu können. Sollten Ihre Original Dateien gelöscht worden sein, so können Sie dem Tool auch ein verschlüsseltes PNG / JPG Bild, zusammen mit einem beliebigen anderen PNG / JPG Bild geben und daraus den Key mit welchem Ihre Dateien verschlüsselt wurden, errechnen lassen. Sobald das Tool den Entschlüsslungs-Key gefunden hat, kann dieser dazu benutzt werden, um alle Ihre Dateien wieder zu entschlüsseln.

 

decryt

Ziehen Sie 2 Dateien über das Tool um den Verschlüsslungs-Key suchen zu lassen

Das Programm versucht nun, den Key zu errechnen, was einige Zeit in Anspruch nehmen kann. Sobald es einen Entschlüsslungs Key gefunden hat, präsentiert es diesen in einem neuen Fenster und durch Klick auf “OK” kann der Entschlüsslungsprozess für die restlichen Dateien gestartet werden.

 

entschlüsselter Key zum decodieren quelle: http://www.bleepingcomputer.com

entschlüsselter Key zum decodieren
quelle: http://www.bleepingcomputer.com

 

Das keine weiteren Infirmationen über die Vorgehensweise der Malware bekannt sind und sich das Tool nicht vollständig sicher sein kann, dass der verwendete Key zum entschlüsseln auch korrekt ist, werden die verschlüsselten Dateien nicht gelöscht, sondern bleiben auf der Festplatte des Anwenders zurück. Es wird dringend empfohlen, die entschlüsselten Dateien zu kontrollieren um sicherzustellen, dass diese auch korrekt decodiert wurden.

 

Wie kann ich meinen Rechner schützen?

  1. Überprüfen Sie Ihren Rechner mit unseren kostenfreien EU-Cleanern>>
  2. Schützen Sie Ihren Computer vor einer Infektion, indem sie das System immerup-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht auf integrierte Links, bzw. öffnen Sie niemals deren Anhänge.
  3. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
  4. Machen Sie regelmäßig Backups von ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Im Infektionsfall sollten Sie diese immer griffbereit haben. Lesen Sie dazu unseren Beitrag „Acronis True Image 2014 ermöglicht ein System-Backup in die Cloud„.
  5. Verwenden Sie im Internet einen Adblocker um sich vor gefährlicher Werbung zu schützen.
  6. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac!

Wenn Sie nicht weiterkommen, melden Sie sich in unseren kostenfreien Forum an und erstellen dazu einen Beitrag. Die Experten helfen Ihnen “Schritt für Schritt” bei der Behebung des Problems.