Ransomware Qlocker: So stellen Sie Ihre Daten (großteils) wieder her

Qlocker attackierte über eine Schwachstelle in den NAS-Geräten von QNAP vor allem kleine und mittlere Unternehmen.

Die Lösegeldforderung der Angreifer war mit erst 0,01 und später 0,03 Bitcoin (rund 500 bis 1.500 Euro) vergleichsweise moderat – das Ergebnis jedoch unzuverlässig.  Nicht alle, die bezahlten, erhielten den versprochenen Schlüssel, um ihre Daten zu entschlüsseln.

Die Daten der Ransomware-Opfer wurden nicht mit eigener Malware, sondern mit dem Pack-Programm 7-Zip mit einem 32 Zeichen langen Schlüssel für Advanced Encryption Standard (AES) verschlüsselt. Bald nach Bekanntwerden der Angriffe wurde eine Schwachstelle in der Qlocker Tor Seite entdeckt, durch die die 7-Zip Passwörter kostenlos zurückgewonnen werden konnten. Der Bug wurde jedoch behoben.

Zwei österreichische Sicherheitsforscher entdeckten nun einen weiteren Fehler in den Qlocker Ransome-Attacken: Die Angreifer haben die vergessen, die Originaldaten nach der Verschlüsselung zu löschen.

„Wenn Sie also die Dateien auf der ext4-Partition wiederherstellen, erhalten Sie die meisten Ihrer Dateien zurück“, erklärt einer der Experten. Allerdings bleiben die Dateien leider ohne aussagekräftige Namen, ohne Verzeichnisstruktur und alle mit demselben Zeitstempel zurück. Aber auch dieses Problem haben die Forscher behoben: „Durch Anpassen der Größe und des CRC32 der ursprünglichen und der nicht gelöschten Dateien können die meisten Informationen wiederhergestellt werden“, so die gute Nachricht – jedoch mit einer Warnung: „Beachten Sie, dass Sie so nicht alle Ihre Daten zurückerhalten.“ Dateien, die während der Verschlüsselung überschrieben wurden, bleiben verloren. In einem Fall konnten allerdings 90% der verschlüsselten Files wiederhergestellt werden.

Die Sicherheitsexperten stellen allen Betroffenen und Interessierten eine Beschreibung des Wiederherstellungsprozesses und das grundlegende Script zur Wiederherstellung der Dateiinformationen kostenlos bereit.

Download description: How to recover and rename your data after Qlocker (pdf)

Download q-recover script: Rename your files by script

Quelle:

https://www.bleepingcomputer.com/news/security/massive-qlocker-ransomware-attack-uses-7zip-to-encrypt-qnap-devices/