Interview mit dem Entwickler von TeslaCrypt decryptor

Die Neuigkeit über die Aufgabe der Ransomware TeslaCrypt hat große Aufmerksamkeit auf sich gezogen. Viele Fragen blieben jedoch noch unbeantwortet. Deshalb haben wir den besten Ansprechpartner ausfindig gemacht, den man für dieses Thema finden kann – Igor Kabina. Er ist derjenige Malware Forscher, der als erster die Veränderung der TeslaCrypt Ransomware beobachtete und das ultimative TeslaCrypt Entschlüsselungstool entwickelte.

TeslaCrypt ist nun Geschichte – Internet User sind genau so froh darüber, wie Opfer, die wieder an ihre Daten gelangen. Und Sie haben eine entscheidende Rolle zu dieser Entwicklung beigetragen – korrekt?

In der Tat bat ich einfach die Hintermänner der Ransomware TeslaCrypt um Freigabe des Entschlüsselungsschlüssels für die neuste Version. Daraufhin haben sie den Schlüssel veröffentlicht. Augenblicklich begann ich ein Entschlüsselungswerkzeug zu generieren, damit Opfer auf unkonventionelle Weise wieder an ihre Daten gelangen können.

So zusammengefasst, klingt das recht simpel. Doch üblich ist es nicht, Ransomware-Entwickler einfach um den Schlüssel zu bitten…

Ja, tatsächlich war das der sprichwörtliche Schlüssel zum Erfolg! Es sind Schlüssel, für die Betroffene bezahlen müssen, wenn sie Opfer von Ransomware geworden sind und kein Back-Up haben. Wer auf Cyberkriminelle hereinfällt, befindet sich in wirklichen Schwierigkeiten.

Wir lesen ziemlich oft, dass es solche Decrypting-Tools gibt und diese Usern erlauben, ihre Daten wiederherzustellen.

Ja, manchmal benutzten die Ransomware-Entwickler eine sehr schwache Verschlüsselung oder implementierten fehlerhaften Code. Dann ist es für uns relativ einfach, ein Entschlüsselungs-Tool zu programmieren. Dennoch profitiert diese Lösung meist vom speziellen Schlupfloch der Ransomware – und diese Lücken werden mit der nächsten Version der Malware dann geschlossen.

In unser Fall ist es anders. Dank des Universalschlüssels, konnte ich ein Tool programmieren, dass mehrere der neusten TeslaCrypt-Versionen gleichzeitig entschlüsselt.

Okay, lass‘ uns noch einmal darauf zurückkommen, wie du an den Schlüssel herankamst. Wir haben eben gehört, dass du die Malware-Entwickler einfach um den Universalschlüssel gebeten hast. War es wirklich so einfach?

Schon seit geraumer Zeit habe ich ein Auge auf die TeslaCrypt Ransomware. Meine Aufgabe ist, Schritt mit den Malware-Entwicklern zu halten, um ESETs User eine höchst mögliche Sicherheit zu bieten. Ich war Zeuge von frühen Versionen, bei denen durch einen Bug Entschlüsselungs-Tools programmiert werden konnten. Leider hatte die neuste Version einen verstärkten Verschlüsselungsalgorithmus und war dadurch schwer zu knacken.

Durch mein Wissen über den normalen Lebenszyklus einer Malware, erwartete ich weitere Entwicklungen der TeslaCrypt Ransomware. Aber einige Wochen später bemerkte ich eine Verlangsamung und die Malware-Programmierer schienen das Feld zu räumen. Einige ehemaligen TeslaCrypt-Gruppenmitglieder schlossen sich dem neuen Ransomware-Projekt CryptProjectXXX an. Am 27. April erschein die vorerst letzte Version von TeslaCrypt. Kurz darauf war jedem bewusst, dass die Hintermänner es aufgegeben hatten, die Ransomware zu streuen und nacheinander waren alle Links zu TeslaCrypt nicht mehr erreichbar. Also versuchte ich mein Glück und gab vor, ein Opfer der Ransomware zu sein. Ich fragte die Malware-Entwickler ob sie nicht alle vier Entschlüsselungsschlüssel seit dem Start von TeslaCrypt freigeben wollten. Sie antworteten mir innerhalb eines Tages, was die übliche Beantwortungszeit war, aber gaben lediglich den Schlüssel für meine Version frei. Daraufhin bat ich sie erneut, doch bitte wenigstens den Universalschlüssel der letzten Version zu veröffentlichen. Anderthalb Tage später bemerkte ich den „Project closed“-Post auf der TeslaCrypt-Seite. Zuerst konnte ich es gar nicht glauben, doch nach einer kurzen Verifizierung war klar, dass sie den Universalschlüssel auf ihrer Seite veröffentlicht hatten.

Eine Frage kam mir in den Sinn, als du davon sprachst, dass du die Malware-Entwickler aktiv kontaktiert hast. Ist es allgemein üblich, zu den Leuten der dunklen Seite des Business zu sprechen?

Lasse mich kurz klarstellen, dass die gesamte Kommunikation über den offiziellen Kanal der TeslaCrypt-Webseite lief. Man kann sich das wie ein Software Help Desk vorstellen. Durch die Anonymisierung konnten auch die Malware-Entwickler nicht herausfinden, wer eigentlich mit ihnen kommuniziert. Ich gab also einfach vor, ein potenzielles Opfer zu sein.

Und um jetzt auf deine Frage zurückzukommen: Nein, es ist nicht üblich mit den Malware-Programmierern zu sprechen – doch in diesem Fall war es einen Versuch wert.

Ein Statement auf der Webseite lautete „Wir entschuldigen uns“. Das klingt schon fast ein bisschen spöttisch…

Schon mit CryptoWall propagierten sie, Usern helfen und Antivirenlösungen testen zu wollen. Doch ich war stets anderer Meinung: Sie hatten es bloß auf das Geld der Leute abgesehen. Zu guter Letzt bewiesen sie dann doch immer ein Quäntchen Menschlichkeit und gaben die Entschlüsselungsschlüssel für alte Versionen frei. Nichtsdestotrotz macht das nicht gut, was sie ihren Opfern angetan haben.

Was ist die Moral der Geschichte? Was können Internet User daraus lernen?

Die Mehrheit kann aus der Geschichte lernen, wie man Computer benutzen sollte, wie nicht und wie sich gegen Gefahren aus dem Netz gewehrt werden kann. Dazu gehört vor allem ein aktuelles Betriebssystem mit ebenso aktueller Software und eine vertrauenswürdige Antivirenlösung. Ein offline Back-Up sollte jedem ans Herz gelegt sein und ergänzt die Sicherheitsmaßnahmen.

Hersteller von Antivirenlösungen unternehmen große Anstrengungen, aber letztendlich bleibt immer die „Schwachstelle Mensch“, die sich die Angreifer aussuchen und attackieren. Wer von einer Ransomware getroffen wird, muss sich bewusstmachen, dass es nicht um Dateien geht. Die Malware-Entwickler kümmern sich nicht um Dateien – sie haben es auf Geld abgesehen. Ich weiß, dass es schmerzt, wichtige Dateien zu verlieren. Aber ich rate dazu, das Lösegeld nicht zu bezahlen. Wenn die Leute aufhören zu bezahlen, dann wird es in Zukunft keine Ransomware mehr geben. In der Zwischenzeit sollten die Menschen wissen, dass es auch viele Leute auf der guten Seite gibt, die hart daran arbeiten, den besten Schutz für Internet User zu erschaffen.

 

 

Autor , ESET