Kaspersky bietet Tool zur Entschlüsselung der Erpresser-Software CryptXXX an

SicherheitVirus
kaspersky_ransomware (Bild: Kaspersky)

Von der Ransomware Betroffene sind damit in der Lage, ihre chiffrierten Dateien wiederherzustellen, sodass das verlangte Lösegeld in Höhe von über 400 Euro nicht gezahlt werden muss. Voraussetzung dafür ist eine noch nicht von CryptXXX verschlüsselte Originaldatei.

Kaspersky Lab hat die Erpesser-Software CryptXXX entschlüsselt. Von der Ransomware Betroffene sind mit einem von ihm bereitgestellten Entschlüsselungstool in der Lage, ihre verschlüsselten Dateien wiederherzustellen. Dazu bietet der Sicherheitsanbieter auch gleich eine deutschsprachige Anleitung an.

kaspersky_ransomware (Bild: Kaspersky)
Ransomware (Bild: Kaspersky)

Der Mitte April von Proofpoint ermittelte CryptXXX-Trojaner wird wie zahlreiche andere Ransomware-Varianten über Spam-Mails verteilt, die einen infizierten Anhang oder einen Link auf eine kompromittierte Website enthalten. Diese Webseiten sind mit dem Exploit Kit Angler versehen, das den Rechner automatisch auf potentielle Anfälligkeiten untersucht.

Einmal installiert, chiffriert der Trojaner Dateien auf dem infizierten System und fügt dem Dateinamen die Endung “.crypt” hinzu. Anschließend wird Opfern mitgeteilt, dass ihre Dateien mithilfe des RSA-4096-Algorithmus verschlüsselt wurden. Gleichzeitig bekommen sie eine Bitcoin-Lösegeldforderung in Höhe von über 400 Euro. Kommen sie dieser nach, sollen ihre Daten angeblich wieder dechiffriert werden.

Umfrage

Plant Ihr Unternehmen die Anschaffung von 2-in-1-Geräten auf Basis von Windows 10?

Ergebnisse

Loading ... Loading ...

Besonders hinterhältig an CryptXXX ist, dass es auch Dateien auf angeschlossenen Speichermedien verschlüsselt und versucht, vertrauliche Informationen auszuspionieren und auf dem Rechner vorhandenes Bitcoin-Guthaben zu entwenden. Kaspersky Lab zufolge kursieren gegenwärtig 50 Varianten von CryptXXX. Laut seiner Analyse existiert kein universeller Algorithmus, mit dem sich die teilweise verschiedenen Verschlüsselungen knacken lassen. Die Behauptung der Angreifer, eine RSA-4096-Verschlüsselung zu verwenden, hat sich allerdings als falsch erwiesen.

kaspersky_cryptxxx-decryptor (Bild: Kaspersky)
Kaspersky ist es gelungen, sein Entschlüsselungstool für die Ransomware Rannoh so zu modifizieren, dass es Systeme auch von CryptXXX befreien kann (Bild: Kaspersky).

Der Sicherheitsanbieter konnte sein Entschlüsselungstool für die Ransomware Rannoh daher derart modifizieren, dass es Systeme auch von CryptXXX befreit. Voraussetzung dafür ist zumindest eine von CryptXXX betroffene Originaldatei, die noch nicht chiffriert wurde.

Am besten sei es aber, mit einer Sicherheitslösung von Anfang an zu verhindern, dass die Erpresser-Software überhaupt auf das System gelangt, erklärt Sicherheitsexperte John Snow in einem Blogbeitrag. “Unser Entschlüsselungstool funktioniert zwar aktuell, aber Kriminelle können schon bald eine neue Version der Ransomware veröffentlichen, die schlauer agiert. Es kommt sehr oft vor, dass Malware-Code auf eine Weise verändert wird, die eine Entschlüsselung der infizierten Dateien unmöglich macht.”

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat kürzlich Resultate einer Umfrage zu Ransomware-Infektionen in der deutschen Wirtschaft vorgelegt. Ein Drittel (32 Prozent) der befragten Unternehmen war in den vergangenen sechs Monaten demzufolge von Erpressersoftware betroffen. Zu den Opfern zählten Unternehmen aller Größenordnungen. 95,3 Prozent gingen nicht auf die Lösegeldforderungen ein. 2,1 Prozent zahlten Lösegeld, 2,6 Prozent machten dazu keine Angaben. Strafanzeige stellten nur 18 Prozent.

[mit Material von Björn Greif, ZDNet.de]

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen