Der Crypto-Trojaner CryptXXX verbreitet sich per Angler Exploit Kit (EK) und wurde Ende März erstmals von Sicherheitsexperten der Firma Proofpoint dokumentiert. Zwischenzeitlich hat Kaspersky aber ein Entschlüsselungstool für eine Variante veröffentlich. Hier ein paar Informationen.
Anzeige
In einer mir vorliegenden Pressemitteilung finden sich einige Details zu CryptXXX, wie der Erpressungstrojaner genannt wird. Die von den Experten von Proofpoint kürzlich entdeckte und bisher nicht dokumentierte Erpressungssoftware CryptXXX, verbreitet sich seit Ende März.
Die Details zu CryptXXX
Die Cyber-Kriminellen setzen dabei auf das Bedep-Virus, wobei die Systeme durch das Angler Exploit Kit (EK) infiziert werden. Angler ist derzeit das Nummer-Eins Exploit Kit gemessen am Volumen und macht damit die möglichen Auswirkungen der neuen Erpressungssoftware in den Händen von erfahrenen Angreifern mit Zugriff auf diesen Vektor umso signifikanter.
Das Unternehmen Proofpoint untersuchte die komplette Ransomware in einer überwachten Umgebung und fand folgende wichtige Punkte heraus:
- Die Ransomware wird als DLL über den Bedep-Virus versandt
- Der Start dieser DLL wird willkürlich verzögert, sodass dass Anwender nicht in der Lage ist, die Verknüpfung der DLL mit dem Infektionsvektor (z.B. eine kompromittierte Website) zu verhindern
- Die Ransomware besitzt Anti-VM- und Anti-Analysefunktionen
Proofpoint ist sich sicher, dass es eine Verbindung zwischen CryptXXX und dem Reveton-Team gibt. Reveton ist bekannt für die Verbreitung von großangelegten Malware-Angriffen und die hohe Zahl an Übersetzungen der Zahlungswebseiten. Mit CryptXXX werden diese Angriffe erwartungsgemäß erhöht und verstärkt.
Anzeige
(Quelle: Proofpoint)
Der Trojaner verschlüsselt die gefundenen Dateien auf dem infizierten System und fügt dem Dateinamen die Endung „.crypt" hinzu. Anschließend verlangt CryptXXX momentan eine relativ hohe Ablösesumme von 500 US-Dollar, um verschlüsselte Dateien wieder zu entsperren. Sollte das Opfer nicht sofort reagieren, wird die Summe erhöht. Allerdings verschlüsselt CryptXXX nicht nur lokale Dateien, sondern stiehlt auch Bitcoins sowie persönliche Daten vom infizierten Rechner. Proofpoint hat einige Details in diesem Blog-Beitrag dokumentiert.
Kaspersky stellt Entschlüsselungstool für CryptXXX bereit
Für betroffene Anwender gibt es aber eine gute Nachricht – Antivirus-Spezialisten von Kaspersky haben ein Entschlüsselungstool für CryptXXX entwickelt, mit dem sich die Dateien wieder entschlüsseln lassen. Das berichten sowohl heise.de als auch ZDNet.de auf ihren Online-Seiten. Kaspersky hat das Entschlüsselungstool für die Ransomware Rannoh so modifiziert, dass sie auch CryptXXX-Dateien entschlüsseln kann. Das Tool wird auf dieser deutschsprachigen Kaspersky-Webseite zusammen mit einer Anleitung zum Gebrauch angeboten.
(Quelle: Kaspersky)
Das Tool kann das System scannen und versucht den Schlüssel automatisch zu errechnen. Voraussetzung zur Entschlüsselung ist eine Originaldatei, die zu einer der verschlüsselten Dateien passt.
Aktuelle Virenscanner von Kasperky sollen CryptXXX erkennen und die Infektion verhindern. Das Tool dürfte aber nur eine minimale Atempause verschaffen, da die Cyber-Kriminellen die Ransomware CryptXXX sicherlich anpassen werden.
Ähnliche Artikel
Warnung: Trojaner unterwegs …
Crypto-Trojaner die Zweite: .TRUN der (noch) Unbekannte
ESET warnt vor Nemucod-Malware
Sicherheits-News zum Wochenstart (21.3.2016)
Trojaner TeslaCrypt 2: Verschlüsselung geknackt
Ransomware Cyber Police nutzt Android-Sicherheitslücke
PowerShell als Einfallstor für Malware/Ransomware
Cerber, neue, sprechende Ransomware
Was schützt vor Locky und anderer Ransomware?
Cyber-Security Infos zum Wochenende (23.4.2016)
Sicherheitsinfos zum 19.4.2016
Windows-Schwachstelle hebelt AppLocker aus
Anzeige
