Im Juli 2016 startete das Projekt „NoMoreRansom.org“ – eine Kooperation der niederländischen Polizei, Europol, Intel Security und Kaspersky Lab. Das Projekt zum Kampf gegen Erpressungs-Software wird stetig weiter entwickelt: Entschlüsselungstools und Keys werden hinzugefügt. Jetzt hat Kaspersky Lab die Polizei und Staatsanwaltschaft in den Niederlanden dabei unterstützt, die Command-and-Control-Server der Ransomware „WildFire“ zu lokalisieren. Nachdem die Server abgeschaltet wurden, konnten fast 1.600 Schlüssel sichergestellt werden. Kaspersky hat zusammen mit Intel Security Entschlüsselungstools entwickelt, die dabei helfen sollen, verschlüsselte Daten zurückzubekommen – ohne Lösegeld zu zahlen.
Die Ransomware WildFire scheint sich laut Kaspersky weitestgehend in den Niederlanden verbreitet zu haben, 90 Prozent der Infektionen wurden in den vergangenen Wochen dort registriert. Das Infektionsmuster von WildFire ähnelt dem der Schädlinge von ‚Zyklon‘ und ‚GNLocker‘: eine Spam-Mail, die angeblich von einem Speditionsunternehmen stammt, wird von den Servern der Hacker verschickt. Diese E-Mail teilt mit, dass eine Lieferung nicht erfolgen konnte. Um einen neuen Liefertermin zu vereinbaren, soll der Empfänger das angehängte Word-Dokument öffnen.
Sobald dieses geöffnet wurde und Makros auf dem betroffenen Rechner aktiviert sind, wird WildFire heruntergeladen und installiert. Die auf dem Computer gespeicherten Dateien werden verschlüsselt. Danach stellen die Hacker eine Lösegeldforderung in Höhe von mindestens 300 US-Dollar, die sich bei Nichtzahlung innerhalb von acht Tagen verdreifacht.
Bereits mit WildFire infizierte Computer seien nun nicht mehr in der Lage, mit den Servern der Cyberkriminellen zu kommunizieren. Opfer erhalten stattdessen eine Nachricht von der Polizei, dass die Server konfisziert wurden und über NoMoreRansom.org ein Entschlüsselungstool erhältlich ist, um Daten zurückzuerhalten. Die Seite enthält neben zahlreicher Keys auch fünf weitere Tools für andere Formen von Ransomware – das neueste wurde erst im Juli 2016 für ‚Shade‘ und ‚Chimera‘ entwickelt.
Über NoMoreRansom.org
Auf NoMoreRansom.org finden sich etliche Entschlüsselungstools für verschiedene Ransomware-Typen. Außerdem wird über Ransomware und Maßnahmen, die vor einer Infektionen schützen, informiert. „Die Beschlagnahmung der Entschlüsselungs-Keys für WildFire zeigt, dass Cyberkriminalität, vor allem Ransomware, am besten durch Kooperationen bekämpft werden kann“, so John Fokker, Digital Team Coordinator der Dutch National High Tech Crime Unit (NHTCU). „Die niederländische Polizei ist bemüht, den Betroffenen zu helfen, indem sie Fälle von Ransomware prüft, die kriminelle Infrastruktur lahmlegt und Schlüssel zur Entschlüsselung verbreitet. Regelmäßige Back-ups persönlicher Dateien sind dennoch die beste Strategie gegen Ransomware.“
„Es ist von großer Wichtigkeit, dass sich mehr Partner aus so vielen unterschiedlichen Bereichen wie möglich zusammentun, um dieser Form von Ransomware mit noch mehr Kraft entgegenzutreten“, kommentiert Jornt van der Wiel, Sicherheitsexperte des Global Research and Analysis Team bei Kaspersky Lab. „Wir machen gute Fortschritte, stehen aber noch am Anfang. Durch enge Kooperationen können wir viel mehr erreichen.“