Kaspersky RannohDecryptor zum entschlüsseln von locked Dateien (Trojan-Ransom.Win32.Rannoh)

Der Hersteller Kaspersky stellt mit dem Tool RannohDecryptor ein weiteres Werkzeug zur Verfügung, gegen die verschlüsselten Dateien im Format „locked-original Dateiname.Typ.1234“, die vom Verschlüsselungstrojaner verschlüsselt wurden sind.

Nachdem der Hersteller Avira seine Entschlüsselungssoftware „Avira Ransom File Unlocker“ bereitgestellt hat, zog auch nur wenige Tage später der Anti-Viren Hersteller Kasperksy mit dem „Kaspersky RannohDecryptor“ nach.
Ein Tool gegen den Verschlüsselungstrojaner, bekannt auch unter die Namen Trojan:W32/Ransomcrypt, trojan-ransom.win32.rannoh, trojan:win32/ransom.opv, Trojan-Ransom.Win32.Rannoh, Trojan.Crypt.EBJ, TR/Crypt.XPACK.Gen (Ransom.A), Trojan.Encoder usw., um die Dateien die im Format „locked-original Dateiname.Typ.1234“ vorliegen wieder zu entschlüsseln.

Ich persönlich hatte das Programm schon erfolgreich im Einsatz gehabt und könnte damit auf mehren Kunden PCs die Dateien wieder herstellen. In der Bedeinbarkeit gestaltet es sich recht einfach. Den „Kaspersky RannohDecryptor“ starten, Einstellungen vornehmen und starten. Während des suchen nach den Dateien werden die gefunden gleich entschlüsselt. Finde es in der Bedienbarkeit sogar etwas besser als den „Avira Ransom File Unlocker„.

Der Kaspersky RannohDecryptor nach dem staren.

Kaspersky RannohDecryptor

Nach dem starten des „Kaspersky RannohDecryptor“ öffnet sich die Benutzeroberfläche. Mit einem Klick auf „Change Parameters“ kommt man in das Einstellungsmenü. Dies sieht dann so aus:

Der Einstellungsdialog (Parameters) des Kaspersky RannohDecryptor.

Kaspersky RannohDecryptor Einstellungsdialog

Dort wählt man die Laufwerke aus, auf denen das Programm nach locked Dateien suchen und diese wieder entschlüsseln soll.
Als zusätzliche Option wird hier noch das löschen von verschlüsselten Dateien nach dem Entschlüsselungsvorgang angeboten. Diese Option sollte man erst mal nicht aktivieren um zu schauen ob alle Dateien auch Ordnungsgemäß entschlüsselt wurden. Später kann man die locked Dateien manuell immer noch löschen.

Alle Einstellungen sind gemacht, dann kann man mit „Start scan“ das suchen und entschlüsseln starten. Während des Scans wird der aktuelle Staus in Form von Laufzeit, wie viele verschlüsselte Dateien gefunden wurden und wie viele Dateien entschlüsselt wurden ausgegeben.

Wenn nach „Start scan“ diese Meldung eingeblendet wird…

Der Abfragedialog bzw. Hinweis vom Kaspersky RannohDecryptor.

Kaspersky RannohDecryptor Hinweis

dann konnte der „Kaspersky RannohDecrypter“ nicht automatisch anhand der Windows Beispielbilder den Entschlüsselungskey ermitteln.
Jetzt muß man mit einen Klick auf „Continue“ machen und die verschlüsselte Datei angeben. Danach fragt das Programm nach der Original Datei. Wenn das erfolgreich war beginnt der Scan und die suche nach den verschlüsselten Dateien und deren Entschlüsselung.

Zu guter Letzt noch ein paar wichtige Hinweise! Immer erst mal ein Backup anlegen von den Dateien für den Fall das es nicht funktioniert und man auf eine neue Version des Programms warten muss.
Da der Verschlüsselungstrojaner auch schon in neueren Versionen gesichtet wurden ist, kann es sein das es mit dem entschlüsseln nicht mehr funktioniert. Da muss man leider erst mal abwarten bis die AV-Hersteller die neue Verschlüsselung geknackt haben und dann aktualisierte Programme zur Verfügung stellen.

 

2 Kommentare Schreibe einen Kommentar

  1. ich verstehe immer noch nicht woher ich denn bitte die Original Datei bekommen soll, wenn sie doch entschlüsselt ist.

     
  2. Das Problem besteht wohl derzeit darin, dass „Trojan-Ransom“ beim Verschlüsseln gegenüber der Original-Datei eine veränderte Dateigröße generiert. Stellt man nun Kaspersky RannohDecryptor beide Dateipfade zur Verfügung, erhält man die Fehlermeldung, dass beide Dateigrößen nicht übereinstimmen und das Programm bricht ab.

     

Schreibe einen Kommentar


banner