Ein Forscherteam von Avast hat eine kryptografische Schwachstelle in der von der Windows-Ransomware Muse und ihren Varianten verwendeten Verschlüsselungsmethode entdeckt. Basierend auf diesem Fund haben sie ein Entschlüsselungstool entwickelt, das ab sofort kostenlos zum Download bereitsteht.
Ransomware Muse seit 2022 aktiv
Laut dem Bericht der Forscher ist die Ransomware Muse seit April 2022 aktiv und hat seitdem mehrere Umbenennungen durchlaufen:
- November 2022: Tarnung als gefälschtes LockBit 3.0
- Mai 2023: Umbenennung in DarkRace
- März 2024: Betrieb als DoNex
Das Entschlüsselungstool ist für alle diese Versionen ausgelegt. Die Ransomware wurde hauptsächlich für gezielte Angriffe in Italien und den USA eingesetzt, mit einigen Vorfällen auch in Deutschland. Das volle Ausmaß dieser Attacken ist nicht bekannt.
Keine neuen Ransomware-Samples seit April 2024
Seit April 2024 gibt es keine neuen Samples der Ransomware mehr und die zugehörige Tor-Website ist offline. In der Anleitung zum Entschlüsselungstool erklären die Entwickler, wie Opfer erkennen können, von welcher Variante sie betroffen sind.
Anleitung zur Entschlüsselung
Nach dem Download und der Installation müssen Opfer lediglich die Ordner mit den verschlüsselten Dateien auswählen. Für eine erfolgreiche Entschlüsselung benötigen Betroffene jedoch eine unverschlüsselte Originalversion einer möglichst großen verschlüsselten Datei, um den Passwort-Cracking-Prozess zu starten. Aufgrund des hohen Speicherbedarfs des Programms empfehlen die Forscher die Verwendung der 64-Bit-Version des Tools.
Avast hält sich derzeit bedeckt, wo genau die Verschlüsselungslücke liegt. Opfer von Ransomware können auf der Website ID Ransomware durch Hochladen einer Lösegeldforderung feststellen, um welche Ransomware es sich handelt und ob Entschlüsselungstools verfügbar sind. Zum Zeitpunkt dieses Berichts erkennt der Dienst 1145 Verschlüsselungs-Ransomware-Varianten.
