{"id":177386,"date":"2016-05-13T07:27:22","date_gmt":"2016-05-13T05:27:22","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=177386"},"modified":"2016-05-13T07:27:22","modified_gmt":"2016-05-13T05:27:22","slug":"verschlsselungstrojaner-cryptxxx-2-0-aufgetaucht","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2016\/05\/13\/verschlsselungstrojaner-cryptxxx-2-0-aufgetaucht\/","title":{"rendered":"Verschl&uuml;sselungstrojaner CryptXXX 2.0 aufgetaucht"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Zum Wochenende noch ein Sicherheitshinweis in Sachen Erpressungstrojaner. Von der Ransomware CryptXXX ist nun die Version 2.0 aufgetaucht, die bisherige Verschl\u00fcsselungstools unwirksam macht.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/1ed00556fcc04c709c33453b532888dc\" width=\"1\" height=\"1\"\/>Die Info kommt vom Sicherheitsdienstleister Proofpoint, der das Ganze in <a href=\"https:\/\/www.proofpoint.com\/us\/threat-insight\/post\/cryptxxx2-ransomware-authors-strike-back-against-free-decryption-tool\" target=\"_blank\">diesem englischsprachigen Blogbeitrag<\/a> ver\u00f6ffentlicht hat. F\u00fcr schnelle Leser die wichtigsten Fakten in komprimierter Form: <\/p>\n<ul>\n<li>Die neue Version des Erpressungstrojaners macht die erst im April von Kasperky ver\u00f6ffentlichten Entschl\u00fcsselungs-Tools f\u00fcr den urspr\u00fcnglichen CryptXXX unwirksam.  <\/li>\n<li>CryptXXX 2.0 sperrt den Bildschirm des Systems und macht infizierte Rechner sofort unbrauchbar.<\/li>\n<\/ul>\n<p>Erstmals entdeckt wurde die Version 2.0 am 28. April 2016. Verteilt wird der Trojaner \u00fcber den Angler Exploit Kit. Interessant: Die neue Version kopiert die Datei <em>rundll32.exe <\/em>in einen tempor\u00e4ren Ordner und benennt diese in <em>svchost.exe<\/em> um. Anschlie\u00dfend wird die umbenannte Datei verwendet, um einen anderen Einsprungpunkt im Original CryptXXX-Prozess aufzurufen. In der Version 2.006 kommt dann noch eine Modifikation hinzu: Der Bildschirm wird gesperrt und der Rechner so unbrauchbar gemacht. <\/p>\n<p><a href=\"https:\/\/www.proofpoint.com\/sites\/default\/files\/cryptxxx03.png\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.proofpoint.com\/sites\/default\/files\/cryptxxx03.png\" width=\"657\" height=\"510\"\/><\/a>(Quelle: Proofpoint)<\/p>\n<p>Proofpoint konnte noch nicht best\u00e4tigen, dass nach Zahlung einer L\u00f6segeldsumme der Bildschirm wieder freigegeben wir. Aus dem Verhalten der Reverton-Erpressergruppe, die auch hinter der Police locker-Malware stehen und die f\u00fcr CryptXXX 2.0 verantwortlich gemacht werden, schlie\u00dft man, dass die neue Ransomware eine entsprechende Funktion enth\u00e4lt. Vermutet wird, dass der Trojaner zyklisch Kontakt mit den Command &amp; Control-Servern (C&amp;C) aufnimmt, um den Zahlungseingang zu ermitteln.<\/p>\n<h3>Schnelle Verbreitung &#8211; Gegenma\u00dfnahmen<\/h3>\n<p>Momentan scheint sich CryptXXX 2.x rapide zu verbreiten. Gegenma\u00dfnahmen k\u00f6nnen eigentlich nur darin bestehen, die Systeme (und Antivirus-Software) auf dem aktuellen Patchstand zu halten, die Benutzer im Umgang mit den Rechnern zu schulen (keine Anh\u00e4nge \u00f6ffnen, wenn nicht sicher ist, dass diese nicht infiziert sind) sowie in regelm\u00e4\u00dfigen Abst\u00e4nden Offline-Backups der Daten und ggf. des Systemabbilds anzufertigen. <\/p>\n<blockquote>\n<p>Anmerkungen bez\u00fcglich des \"Antivirus-Software\" aktuell halten: Diese wird naturgem\u00e4\u00df f\u00fcr gewisse Zeit \"blind\" gegen\u00fcber neuen Ransomware-Versionen sein. Und seit die Sicherheitsl\u00fccke in 7-ZIP entdeckt wurde (<a href=\"http:\/\/www.heise.de\/newsticker\/meldung\/Entpacker-7-Zip-kann-zum-Ausfuehren-von-Schadcode-missbraucht-werden-3206787.html\" target=\"_blank\">siehe<\/a>), hat man eigentlich den Bock zum G\u00e4rtner gemacht. Denn viele Sicherheitsprodukte verwenden genau diese 7-ZIP-Bibliotheken zum Entpacken von Archiven.&nbsp; <\/p>\n<\/blockquote>\n","protected":false},"excerpt":{"rendered":"<p>Zum Wochenende noch ein Sicherheitshinweis in Sachen Erpressungstrojaner. Von der Ransomware CryptXXX ist nun die Version 2.0 aufgetaucht, die bisherige Verschl\u00fcsselungstools unwirksam macht.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161],"tags":[4715,4328],"class_list":["post-177386","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/177386","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=177386"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/177386\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=177386"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=177386"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=177386"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}