Gratis-Entschlüsselungstool für Erpressungstrojaner STOP

Von Klaus Ahrens

Alle, die sich den Windows-Verschlüsselungstrojaner STOP eingefangen haben, können jetzt aufatmen: Die Sicherheitsforscher von Emsisoft haben zusammen mit den Ransomware-Spezialisten von Bleepingcomputer.com ein kostenloses Entschlüsselungstool veröffentlicht.

Damit bekommen Opfer des Erpressungstrojaners wieder Zugriff auf ihre Daten, ohne dafür Lösegeld zahlen zu müssen. Aktuell funktioniert das Tool aber nur bei 148 von den dokumentierten 160 Varianten der Schadsoftware.

Den „Emsisoft Decryptor for STOP Djvu“ kann man jetzt herunterladen. Das Tool kann mit STOP verschlüsselte Dateien entschlüsseln, welche zum Beispiel die Dateiendungen .djvu, .rumba, .radman und .gero besitzen. In einem Blogartikel führt Emisoft noch einen Download-Link zu einer Variante des Tools auf, der bei Untervarianten von STOP hilft.

STOP ist in der ganzen Welt aktiv

Nach Statistiken von Emsisoft macht STOP aktuell rund 56 Prozent der von Scanlösungen gefundenen Erpressungstrojanern aus. Der Großteil der Funde stammt aus Indonesien (17 %), Indien (15 %) und den USA (14 %). Deutschland ist mit 6 % Anteil vertreten. Emisoft berichtet von insgesamt 460.000 erkannten Opfern des Erpressungstrojaners.

Der Schädling tauchte erstmals im Oktober 2018 auf. Als Zielgruppe hat er hauptsächlich Privatpersonen. Dabei versucht er sich aber nicht wie üblich, per E-Mail-Anhang auf Computer zu kommen, sondern verbirgt sich in illegalen Tools zum Generieren von Software-Keys oder -Cracks. Wer zum Beispiel versucht, damit eine Photoshop-Version illegal zu aktivieren, brigt so den Schädling auf seinen Computer.

Das Entschlüsselungstool nutzt eine Schwachstelle von STOP

Um von STOP verschlüsselten Dateien wieder zu entschlüsseln, arbeitet das Tool mit einem nicht näher beschriebenen Seitenkanalangriff auf den Schlüsselstromgenerator von STOP. Um wieder Zugriff auf die Dateien zu bekomme, müssen die Opfer nur einen Dateipfad mit verschlüsselten Daten angeben und dann auf „Decrypt“ klicken.

Weitere Infos zur Nutzung des Tools findet man in einem PDF-Dokument. Weitere Hilfe können die Opfer im Forum von Bleepingcomputer.com finden. Sollte eine nicht mit dem Tool kompatible Version von STOP zugeschlagen haben, sollte man die verschlüsselten Dateien auf einem Datenträger aufbewahren und darauf hoffen, dass noch eine aktualisierte Version des Decrypters verfügbar wird.