Mac OS Crypto-Ransomware doch entschlüsselbar

Am 23. Februar berichteten wir über eine neue Crypto-Ransomware für Mac OS. Zum damaligen Zeitpunkt war uns keine Entschlüsselungsmethode bekannt. Nun gibt es offensichtlich doch einen Weg, wieder Zugriff auf die verschlüsselten Daten zu erlangen. Allerdings ist die Vorgehensweise nicht gerade für Laien gedacht. Wir empfehlen jemanden zu Rate zu ziehen, der sich besser mit der Mac OS Umgebung und dem Kommandozeilen-Tool XCode auskennt.

Unsere Aussage, dass der oder die Entwickler den Ransomware-Opfern keinen Entschlüsselungsschlüssel zukommen lassen kann / können, weil die Schnittstelle fehlt und das generierte ZIP-Passwort mit arc4random_uniform für jedes einzelne Opfer randomisiert ist, stimmt immer noch. Der selbstgeschulte Apple Sicherheits-Experte Thomas Reed hat nun eine zugegebenermaßen langwierige Möglichkeit herausgearbeitet, wie die durch OSX/Filecoder.E verschlüsselten Dateien wieder in ihren ursprünglichen Zustand zurückversetzt werden können.

Eine unverschlüsselte und die entsprechende verschlüsselte Datei notwendig

Wie bereits erwähnt, gestaltet sich die Entschlüsselung nicht sehr trivial. Außerdem ist für den Vorgang zunächst einmal folgendes notwendig:

  1. ein funktionierender Computer
  2. Xcode oder TextWrangler
  3. XCode Kommandozeilen-Tool
  4. pkcrack Source Code
  5. eine unverschlüsselte und die entsprechende verschlüsselte Datei

Wichtigster Ausgangspunkt sind ein noch funktionierender Computer (vorzugsweise einen Apple Mac) und zwei Versionen einer Datei. Benötigt werden zum einen die Originaldatei sowie das dazugehörige verschlüsselte Pendant. Das Original kann zum Beispiel ein als Anhang versendetes Dokument sein, welches immer noch auf dem E-Mail-Server unter „Gesendete Nachrichten“ zu finden ist. Wer keine Originaldatei parat hat, kann sich die Info.plist-Datei von der Ransomware herunterladen. Diese ist unbedenklich. Seltsamerweise verschlüsselt sich die Mac OS Crypto-Ransomware selbst und erschafft dadurch Info.plist.crypt.

Nach der eigenhändigen Kompilierung von pkcrack und weiteren vielen Eingaben in das Kommandozeilen-Tool gelangt man schlussendlich zum entscheidenden Schritt – dem Entschlüsseln der Dateien. Die vorhergehenden Schritte dienten dazu, den Entschlüsselungsschlüssel zu reproduzieren. Mit diesem können aus verschlüsselten xyz.crypt-Dateien unverschlüsselte ZIP-Dateien erzeugt werden. Dazu wird folgendes Kommando eingegeben:

./zipdecrypt xxx yyy zzz Info.plist.crypt Info.plist.zip

Man beachte, dass xxx yyy zzz den reproduzierten Entschlüsselungsschlüssel darstellen sollen. An dieser Stelle kann schon erahnt werden, dass der Entschlüsselungsprozess ein langwieriger sein wird. Jede Datei muss einzeln mit dem Kommandozeilen-Befehl wiederhergestellt werden. In der Zwischenzeit kann man sich darüber Gedanken machen, wieso es soweit kommen musste. Wir empfehlen generell Software nur legal und auf vertrauenswürdigen Plattformen zu erwerben.

Für Betroffene lohnt sich ein Blick in die ausführliche „Decrypting“-Anleitung von Thomas Reed, die bei Malwarebytes erschien. Präventive Maßnahmen wie Backups helfen Auswirkungen von Crypto-Ransomware von vorneherein zu verhindern.

Autor , ESET

Folgen Sie uns