Kaspersky stellt Entschlüsselungstool für Ransomware CryptXXX bereit

Kaspersky Lab ist es gelungen, die Verschlüsselung der Ransomware CryptXXX zu knacken. Mit einem von ihm bereitgestellten Entschlüsselungstool können Opfer ihre verschlüsselten Dateien wiederherstellen. Dazu liefert der Sicherheitsanbieter auch gleich eine deutschsprachige Anleitung.

Der Mitte April von Proofpoint entdeckte CryptXXX-Trojaner verbreitet sich wie viele andere Ransomware-Varianten über Spam-Mails, die einen infizierten Anhang oder einen Link auf eine kompromittierte Webseite enthalten. Diese Webseiten sind mit dem Exploit Kit Angler ausgestattet, das den Rechner automatisch auf mögliche Schwachstellen abklopft.

Einmal installiert verschlüsselt der Trojaner Dateien auf dem infizierten System und fügt dem Dateinamen die Endung „.crypt“ hinzu. Opfer werden im Anschluss darüber informiert, dass ihre Dateien mit Hilfe des RSA-4096-Algorithmus verschlüsselt wurden. Zugleich erhalten sie eine Lösegeldforderung in Bitcoin in Höhe von mehr als 400 Euro. Kommen sie dieser nach, sollen ihre Daten wieder entschlüsselt werden.

Besonders perfide an CryptXXX ist, dass es auch Dateien auf angeschlossenen Speichermedien verschlüsselt und versucht, vertrauliche Daten auszuspähen sowie auf dem Rechner vorhandenes Bitcoin-Guthaben zu stehlen. Laut Kaspersky Lab sind derzeit 50 Varianten von CryptXXX im Umlauf. Seiner Analyse zufolge gibt es keinen universellen Algorithmus, mit dem sich die teils verschiedenen Verschlüsselungen knacken lassen. Allerdings habe sich die Behauptung der Angreifer, eine RSA-4096-Verschlüsselung einzusetzen, als falsch herausgestellt.

Daher konnte der Sicherheitsanbieter sein Entschlüsselungstool für die Ransomware Rannoh so modifizieren, dass es Systeme auch von CryptXXX befreit. Voraussetzung dafür ist mindestens eine von CryptXXX betroffene Originaldatei, die noch nicht verschlüsselt wurde.

Am besten sei es jedoch, mit einer Sicherheitslösung von Vornherein zu verhindern, dass die Ransomware überhaupt auf das System gelangt, erklärt Sicherheitsexperte John Snow in einem Blogbeitrag. „Unser Entschlüsselungstool funktioniert zwar aktuell, aber Kriminelle können schon bald eine neue Version der Ransomware veröffentlichen, die schlauer agiert. Es kommt sehr oft vor, dass Malware-Code auf eine Weise verändert wird, die eine Entschlüsselung der infizierten Dateien unmöglich macht.“

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat gerade Ergebnisse einer Umfrage zu Ransomware-Infektionen in der deutschen Wirtschaft vorgelegt. Demnach war ein Drittel (32 Prozent) der befragten Unternehmen in den letzten sechs Monaten von Erpressersoftware betroffen. Zu den Opfern gehörten Firmen aller Größenordnungen. 95,3 Prozent gingen nicht auf die Lösegeldforderungen ein. 2,1 Prozent zahlten Lösegeld, 2,6 Prozent machten dazu keine Angaben. Strafanzeige stellten lediglich 18 Prozent.

[mit Material von Charlie Osborne, ZDNet.com]