Kaspersky aktualisiert Entschlüsselungstool für Ransomware CryptXXX

Kaspersky hat eine neue Version seines Entschlüsselungstools für die Ransomware CryptXXX veröffentlicht. Mit ihm können Opfer der jüngsten Ausgabe der Erpressersoftware ihre verschlüsselten Dateien wiederherstellen, ohne Lösegeld zahlen zu müssen. Damit geht das Katz-und-Maus-Spiel zwischen dem Sicherheitsanbieter und den Malware-Autoren in die nächste Runde.

Erstmals war es Experten von Kaspersky Ende April gelungen, die Verschlüsselung von CryptXXX zu knacken. Zu diesem Zeitpunkt wiesen sie aber bereits darauf hin, dass ihr bereitgestelltes Entschlüsselungstool aktuell zwar funktioniere, aber Kriminelle schon bald eine neue Version der Ransomware veröffentlichen könnten, die schlauer agiere. So kam es dann auch. Die Hintermänner von CryptXXX veröffentlichten wenige Tage später eine modifizierte Variante ihrer Ransomware, die eine Entschlüsselung mit dem Kaspersky-Tool unmöglich machte.

Mit Version 1.9.1.0 seiner Software RannohDecryptor zog der Sicherheitsanbieter kürzlich nach und hat im Rennen mit den Malware-Autoren nun vorerst wieder die Nase vorn. Anders als zuvor ist zur Entschlüsselung keine von CryptXXX betroffene Originaldatei notwendig, die noch nicht verschlüsselt wurde. Wie Kaspersky in seinem jüngsten Blogbeitrag zu CryptXXX nochmals betont, sollten Nutzer jedoch mit einer aktuellen Sicherheitslösung am besten von Vornherein verhindern, dass eine Malware überhaupt ihr System infiziert.

Der Mitte April von Proofpoint entdeckte CryptXXX-Trojaner verbreitet sich wie viele andere Ransomware-Varianten über Spam-Mails, die einen infizierten Anhang oder einen Link auf eine kompromittierte Webseite enthalten. Diese Webseiten sind mit dem Exploit Kit Angler ausgestattet, das den Rechner automatisch auf mögliche Schwachstellen abklopft.

Einmal installiert verschlüsselt der Trojaner Dateien auf dem infizierten System und fügt dem Dateinamen die Endung „.crypt“ hinzu. Opfer werden im Anschluss darüber informiert, dass ihre Dateien mit Hilfe des RSA-4096-Algorithmus verschlüsselt wurden (was sich Kaspersky zufolge aber als falsch herausgestellt hat). Zugleich erhalten Nutzer eine Lösegeldforderung in Bitcoin in Höhe von mehr als 400 Euro. Kommen sie dieser nach, sollen ihre Daten wieder entschlüsselt werden.

Besonders perfide an CryptXXX ist, dass es auch Dateien auf angeschlossenen Speichermedien verschlüsselt und versucht, vertrauliche Daten auszuspähen sowie auf dem Rechner vorhandenes Bitcoin-Guthaben zu stehlen. Laut Kaspersky sind über 50 Varianten von CryptXXX im Umlauf.

[mit Material von Charlie Osborne, ZDNet.com]