Erfolgreiche Entschlüsselung des neuen .wallet Erpresser Trojaners

.wallet entschlüsseln – In der letzter Zeit erhalten wir vermehrt Anfragen zu dem neuen .wallet Verschlüsselungstrojaners. Dieser scheint sich gerade im DACH Raum mit täuschend echten Emails zu verbreiten. Oftmals sind diese als Lieferantenemails (UPS, DHL), Bank Emails (Deutsche Bank, Sparkasse, Paypal) oder als Bewerbung getarnt. Die Verschlüsselungstrojaner verstecken sich dabei im Anhang oder sind als Link in der Email hinterlegt.

Erst gestern hatten wir wieder einen Neukunden, bei welchem die Unternehmensdaten komplett vom .wallet Trojaner verschlüsselt waren. Dabei hat der Trojaner nicht nur die reinen Betriebsdaten verschlüsselt, sondern leider auch die Backups auf der externen Festplatte. Der Betrieb konnte zwar notdürftig wiederherstellt werden, aber die Unternehmensdaten von über 10 Jahren sind dann doch zu wertvoll. Hier sieht man mal wieder wie wichtig ein durchdachtes Backup Konzept mit einer Off-Site Sicherung ist.

Im Normalfall versuchen wir zunächst die Daten direkt zu entschlüsseln. Sollte dies nicht gehen, arbeiten wir direkt am betroffenen System mit Daten Recovery Tools und versuchen Dateifragmente einzeln wiederherzustellen. Leider ist aktuell (Mitte April / 2017) noch keine direkte Methode bekannt den .wallet entschlüsseln. Auch eine direkte Datenrettung am System war nicht möglich, da der Server durch den Kunden bereits formatiert und neu installiert wurde um den Betrieb schnellstmöglich wiederherzustellen.

.wallet entschlüsseln – Wie gingen wir vor?

So blieb uns in diesem speziellen Fall nur eine Möglichkeit: Die Zahlung des geforderten Lösegeldes. Auch wenn man damit natürlich solche Erpresser Vorgehen direkt fördert, bleibt abzuwägen ob der moralische Aspekt dahinter wichtiger ist als die Datenbestände des Kunden. Wann immer es möglich ist, raten wir dringend das Lösegeld nicht zu zahlen. Es gibt keinerlei Garantie dafür, dass die Erpresser nach der Zahlung überhaupt einen Decrypt Key zur Verfügung stellen. Wir hatten auch schon Fälle, da forderten die Erpresser 2-3 weitere Zahlungen. Leider gab es auch Fälle, da erhielt der Kunde gar keinen Entschlüsselungscode. Sie sehen also, es sollte immer die allerletzte Option sein.

In Rücksprache mit unserem Kunden sehen Sie hier einen Beispiel Auszug einer .wallet Erpresserkommunikation (natürlich anonym).

Beispiel einer .wallet Erpresser Email

test file:
https://dropfile.to/zQ….

Wallet for pay:
1NSy5NMKrLdd9WdaXZ….

—–Original Message—–
From: …[email protected]>
To: bitcoins3 <[email protected]>
Sent: Tue, Apr 11, 2017 10:37 am
Subject: Aw: Re: .wallet entschlüsseln

Decode the attached file to confirm the possibility.

Gesendet: Montag, 10. April 2017 um 15:01 Uhr
Von: [email protected]
An: …[email protected]
Betreff: Re: .wallet entschlüsseln
Decoding Files 3BTC(bitcoin) tomorrow 5BTC (bitcoin)
translation at the expense of Bitcoin
1NSy5NMKrLdd9WdaXZ….
Buy Bitcoin here https://localbitcoins.net/buy_bitcoins
any other exchanger
or
write to Google how to buy Bitcoin in your country?
in order to guarantee the availability of our key
we can decrypt one file for free
the size of the files <1 mb, doc.docx.xls.xlsx.pdf.jpg.bmp.txt file format
other formats will not be free decryption
after payment you will receive a program

—–Original Message—–
From: Hans <…[email protected]>
To: bitcoins3 <[email protected]>
Sent: Mon, Apr 10, 2017 1:37 pm
Subject: .wallet entschlüsseln

Hi,

a customer of mine was hit by your randsomware.

How much is it to get the data back?

Please inform me.

Thanks Hans

 

Generell wird bei Erpressern oft mit Bitcoins als Zahlungsmittel gearbeitet. Dabei handelt es sich um eine kaum rückverfolgbare und anonyme Kryptowährung. Unser Kunde wollte zunächst direkt ein Bitcoin Wallet eröffnen und das Geld direkt bezahlen, jedoch scheiterte er an div. Postident Verfahren und Sicherheitsrichtlinien der Bitcoin Marktplätze. Dort wird der Handel für neue Teilnehmer stark eingeschränkt um Missbrauch zu vermeiden. Eine Registrierung und Zahlungen von höheren Summen ist somit mit einigen Tagen Vorlauf verbunden. Oftmals bleibt jedoch keine Zeit, da die Erpresser die Zahlungssummen oft nach Ablauf einer gewissen Zeitspanne verdoppeln.

Treuhänderisch haben wir für unseren Kunden die Zahlung der geforderten 5 BTC (entspricht nach aktuellen Kurs ca. 5.800€) übernommen. Die Zahlung erfolgte dabei auf das gewünschte Wallet des Erpressers. Wie so oft, blieb nun erstmal das Warten auf die Gutschrift auf dem Wallet der Gegenseite und die Hoffnung – .wallet entschlüsseln – möglich oder nicht?

Innerhalb von 24 Stunden schickte der Erpresser eine Entschlüsselungssoftware mit dem integriertem Key an den Kunden. Seine Daten konnten vollständig entschlüsselt werden. Die Erleichterung war groß und entsprechende Präventivmaßnahmen werden nun durch den Kunden getroffen. Um es nochmals explizit zu erwähnen – die Zahlung des geforderten Lösegelds sollte immer die allerletzte Option sein!

Sind Sie auch von einem Verschlüsselungstrojaner betroffen und brauchen Hilfe? Hier entlang

 

Kommentarfunktion geschlossen.