![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Der Crypto-Trojaner CryptXXX verbreitet sich per Angler Exploit Kit (EK) und wurde Ende M\u00e4rz erstmals von Sicherheitsexperten der Firma Proofpoint dokumentiert. Zwischenzeitlich hat Kaspersky aber ein Entschl\u00fcsselungstool f\u00fcr eine Variante ver\u00f6ffentlich. Hier ein paar Informationen.<\/p>\n
<\/p>\n
In einer mir vorliegenden Pressemitteilung finden sich einige Details zu CryptXXX, wie der Erpressungstrojaner genannt wird. Die von den Experten von Proofpoint k\u00fcrzlich entdeckte und bisher nicht dokumentierte Erpressungssoftware CryptXXX, verbreitet sich seit Ende M\u00e4rz. <\/p>\n
Die Cyber-Kriminellen setzen dabei auf das Bedep-Virus, wobei die Systeme durch das Angler Exploit Kit (EK) infiziert werden. Angler ist derzeit das Nummer-Eins Exploit Kit gemessen am Volumen und macht damit die m\u00f6glichen Auswirkungen der neuen Erpressungssoftware in den H\u00e4nden von erfahrenen Angreifern mit Zugriff auf diesen Vektor umso signifikanter.<\/p>\n
Das Unternehmen Proofpoint untersuchte die komplette Ransomware in einer \u00fcberwachten Umgebung und fand folgende wichtige Punkte heraus:<\/p>\n
Proofpoint ist sich sicher, dass es eine Verbindung zwischen CryptXXX und dem Reveton-Team gibt. Reveton ist bekannt f\u00fcr die Verbreitung von gro\u00dfangelegten Malware-Angriffen und die hohe Zahl an \u00dcbersetzungen der Zahlungswebseiten. Mit CryptXXX werden diese Angriffe erwartungsgem\u00e4\u00df erh\u00f6ht und verst\u00e4rkt.<\/p>\n
Der Trojaner verschl\u00fcsselt die gefundenen Dateien auf dem infizierten System und f\u00fcgt dem Dateinamen die Endung \u201e.crypt\" hinzu. Anschlie\u00dfend verlangt CryptXXX momentan eine relativ hohe Abl\u00f6sesumme von 500 US-Dollar, um verschl\u00fcsselte Dateien wieder zu entsperren. Sollte das Opfer nicht sofort reagieren, wird die Summe erh\u00f6ht. Allerdings verschl\u00fcsselt CryptXXX nicht nur lokale Dateien, sondern stiehlt auch Bitcoins sowie pers\u00f6nliche Daten vom infizierten Rechner. Proofpoint hat einige Details in diesem Blog-Beitrag<\/a> dokumentiert. <\/p>\n F\u00fcr betroffene Anwender gibt es aber eine gute Nachricht \u2013 Antivirus-Spezialisten von Kaspersky haben ein Entschl\u00fcsselungstool f\u00fcr CryptXXX entwickelt, mit dem sich die Dateien wieder entschl\u00fcsseln lassen. Das berichten sowohl heise.de<\/a> als auch ZDNet.de auf ihren Online-Seiten. Kaspersky hat das Entschl\u00fcsselungstool f\u00fcr die Ransomware Rannoh so modifiziert, dass sie auch CryptXXX-Dateien entschl\u00fcsseln kann. Das Tool wird auf dieser deutschsprachigen Kaspersky-Webseite<\/a> zusammen mit einer Anleitung zum Gebrauch angeboten. <\/p>\n Das Tool kann das System scannen und versucht den Schl\u00fcssel automatisch zu errechnen. Voraussetzung zur Entschl\u00fcsselung ist eine Originaldatei, die zu einer der verschl\u00fcsselten Dateien passt. <\/p>\n Aktuelle Virenscanner von Kasperky sollen CryptXXX erkennen und die Infektion verhindern. Das Tool d\u00fcrfte aber nur eine minimale Atempause verschaffen, da die Cyber-Kriminellen die Ransomware CryptXXX sicherlich anpassen werden. <\/p>\n \u00c4hnliche Artikel Der Crypto-Trojaner CryptXXX verbreitet sich per Angler Exploit Kit (EK) und wurde Ende M\u00e4rz erstmals von Sicherheitsexperten der Firma Proofpoint dokumentiert. Zwischenzeitlich hat Kaspersky aber ein Entschl\u00fcsselungstool f\u00fcr eine Variante ver\u00f6ffentlich. Hier ein paar Informationen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161],"tags":[4973,4715],"class_list":["post-176981","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","tag-cryptxxx","tag-ransomware"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/176981","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=176981"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/176981\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=176981"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=176981"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=176981"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![](\"https:\/\/www.proofpoint.com\/sites\/default\/files\/cryptxxx-fig-2.png\")
<\/a>(Quelle: Proofpoint)<\/p>\nKaspersky stellt Entschl\u00fcsselungstool f\u00fcr CryptXXX bereit<\/h3>\n
(Quelle: Kaspersky)<\/p>\n
<\/strong>Warnung: Trojaner unterwegs \u2026<\/a>
Crypto-Trojaner die Zweite: .TRUN der (noch) Unbekannte<\/a>
ESET warnt vor Nemucod-Malware<\/a>
Sicherheits-News zum Wochenstart (21.3.2016)<\/a>
Trojaner TeslaCrypt 2: Verschl\u00fcsselung geknackt
Ransomware Cyber Police nutzt Android-Sicherheitsl\u00fccke<\/a>
PowerShell als Einfallstor f\u00fcr Malware\/Ransomware<\/a>
Cerber, neue, sprechende Ransomware<\/a>
Was sch\u00fctzt vor Locky und anderer Ransomware?<\/a>
Cyber-Security Infos zum Wochenende (23.4.2016)<\/a>
Sicherheitsinfos zum 19.4.2016<\/a>
Windows-Schwachstelle hebelt AppLocker aus<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"