Dekryptor gegen RanHassan-RansomwareEntschlüsselung machbar
10. November 2022Opfer der RanHassan-Ransomware können ab sofort ihre Daten mit einem universellen Bitdefender-Dekryptor wieder entschlüsseln. Damit stellt Bitdefender mittlerweile 22 Dekryptoren zur Verfügung. Die Möglichkeit, Daten eigenhändig wieder zu entschlüsseln, ist das beste Mittel, Ransomware-Attacken ins Leere laufen zu lassen.
Bitdefender hat durch seine kontinuierliche Entwicklungsarbeit im Rahmen eines der industrieweit umfassendsten Ransomware-Entschlüsselungsprogramme vielen Unternehmen die Zahlung von Lösegeldern erspart – eigenen Schätzungen zufolge in einem Gesamtwert von rund einer Milliarde Dollar. Zu den wichtigsten Entschlüsselungs-Tools von Bitdefender gehören Tools für die Opfer von Gandcrab-Angriffen sowie ein Universal-Dekryptor gegen die REvil-Ransomware.
RanHassan wurde zum ersten Mal im Mai 2022 isoliert und verbreitet sich aktuell vor allem in Indien und in den arabisch-sprechendem Ländern. Dennoch sind solche Attacken in Zukunft auch in Europa nicht auszuschließen. Eine Infektion mit RanHassan ist an der Meldung
„ATENTION...ATENTION...ATENTION...ATENTION...ATENTION....hta“
zu erkennen. Absender sind dc.dcrypt@tutanota.com und dc.dcrypt@mailfence.com.
Entschlüsselung im Hintergrund
Nutzer speichern das Tool nach dem Download auf dem Medium, welches nach verschlüsselten Daten untersucht werden soll. Das Bitdefender-Tool hilft bei einer Infektion mit sämtlichen Versionen von RanHassan. Um die korrekten Schlüssel zum Entschlüsseln zu identifizieren, benötigen Anwender mindestens eine Datei, die sowohl verschlüsselt als auch unverschlüsselt vorliegt.
Das Tool funktioniert auch im Hintergrund im „Silent Mode“ und lässt sich dann über Kommandozeilen steuern: Dabei können Nutzer auch Pfade eingeben, auf denen sich verschlüsselte Dateien befinden. Falls nicht notwendig, kann mit einem Befehl auf die Suche in den Backups verzichtet werden. Alternativ scannt das Tool auch das ganze System. Der neue Dekryptor schließt Software des OpenSSL-Projekts ein und kann als Teil des Open-SSL-Tookits verwendet werden. (rhh)
Hier geht es zu einer ausführlichen Analyse der RanHassan-Ransomware