Entschlüsselungs-Tool White Phoenix kann Ransomware-Opfern helfen

Das Tool White Phoenix versucht, die teilweise verschlüsselten Daten wiederherzustellen. Ob dies gelingt, lässt sich im Voraus nicht abschätzen. Ein Versuch ist es allerdings wert. Das Tool unterstützt folgende Dateitypen:

• PDF
• Word
• Excel
• PowerPoint
• ZIP

Die Dateigrößenbeschränkung ist mit 10 MB relativ hoch. Dadurch ist ein Entschlüsselungsversuch auch mit vergleichsweise großen Dateien möglich.

White Phoenix kann zur Zeit teilweise verschlüsselte Daten folgender Ransomware-Gruppierungen verarbeiten:

• Blackcat/AlphV
• Play
• Qilin/Agenda
• BianLian
• DarkBit

Für verschlüsselte Dateien anderer Gruppierungen ist der Einsatz von White Phoenix nicht möglich.

Um den Vorgang zu beschleunigen, verschlüsseln Ransomware-Attacken Dateien oft nur teilweise. Eine solche teilweise Verschlüsselung reicht aus, um Dateien unbrauchbar zu machen und Lösegeld zu verlangen. Diese Vorgehensweise besitzt jedoch eine Schwachstelle, die White Phoenix nutzt. Die nicht verschlüsselten Teile einer Datei können nützliche Informationen enthalten, die die Chancen für eine Wiederherstellung erhöhen.

Mit White Phoenix kann es gelingen, einzelne Dateien zu retten, die besonders wichtige oder wertvolle Daten enthalten. Die Wiederherstellungsoptionen von White Phoenix sind allerdings stark eingeschränkt. Eine Wiederherstellung ganzer Systeme ist nicht möglich.

Die folgende Anleitung verdeutlicht beispielhaft die Vorgehensweise für Linux (Ubuntu/Debian):

1. Um das Github-Repository herunterzuladen, geben Sie in einer Linux-Konsole Folgendes ein:
   sudo git clone https://github.com/cyberark/White-Phoenix.git
2. Wechseln Sie in das Download-Verzeichnis.
3. Um zu versuchen, eine Datei zu entschlüsseln, geben Sie den folgenden Befehl ein:
   sudo python3 White-Phoenix.py -f GEHEIM.PDF -o ZIELPFAD
   Dabei steht GEHEIM.PDF für den Namen der zu entschlüsselnden Datei.