Die Webseite ID Rasomware, die Erpressungs-Trojaner identifiziert, hat der Sicherheitsforscher Demonslay335 aufgesetzt. Betroffene können über diesen Service kostenfrei prüfen, welcher Krypto-Trojaner die Daten verschlüsselt hat. Dies ist in der Regel nicht ohne weiteres erkennbar.

Die Ergebnisseite zeigt neben dem Namen der Ransomware auch an, ob es ein Entschlüsselungs-Tool gibt. Über einen Link zu Bleepingcomputer.com können Betroffene weitere Informationen erfahren. Zudem pflegen die Webseiten-Betreiber einen News-Bereich und ein auf Erpressungs-Trojaner spezialisiertes Forum.

Die Webseite ID Ransomware kann nach momentanem Stand 52 Verschlüsselungs-Trojaner identifizieren. Opfer müssen entweder eine verschlüsselte Datei oder die Erpresser-Botschaft hochladen, damit die Analyse eingeleitet wird. heise Security konnte in einem kurzen Test die Ransomware TeslaCrypt 2 aber ausschließlich über das Hochladen einer verschlüsselten Datei identifizieren. Zu einem negativen Ergebnis führte die hochgeladene Erpresser-Botschaft.

Per HTTPS geschieht die Datei-Übertragung verschlüsselt. Die Datei werde mit einer Signatur-Datenbank abgeglichen. Demonslay335 versichert, dass die Datei anschließend umgehend gelöscht wird. Allerdings liegen die Daten temporär auf einem gemeinsamen Host und kann nach eigenen Angaben zufolge keine hundertprozentige Vertraulichkeit garantieren. Sollte das Ergebnis der Analyse negativ ausfallen, soll es die Möglichkeit geben, die Datei vertrauenswürdigen Sicherheitsforschern zuspielen zu können.

Zur Analyse von Schädlingen eignet sich der Service ID Ransomware nicht. Demonslay335 verweist dafür auf Malwr oder VirusTotal.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE