Ransomware: Trend Micro warnt vor TeslaCrypt-Nachfolger CryptXXX

Trend Micro hat einen möglichen Nachfolger der Ransomware TeslaCrypt ausgemacht. Mit CryptXXX gibt es den Sicherheitsforschern zufolge eine neue Erpressersoftware, die unmittelbar nach der Veröffentlichung des Entschlüsselungstools für TeslaCrypt ein wichtiges Update erhalten hat: Sie verschlüsselt nicht nur Dateien, sondern installiert auch einen Sperrbildschirm, der jegliche Zugriffe auf den Desktop unterbindet.

Verteilt wird CryptXXX über kompromittierte Websites und Malvertising, also manipulierte Anzeigen, die das Exploit Kit Angler hosten. Sobald ein Nutzer eine dieser Seiten besucht oder auf eine derartige Anzeige klickt, wird CryptXXX mithilfe der Malware BEDEP eingeschleust. Infiziert werden allerdings nur Windows-Rechner mit bekannten Schwachstellen. Zudem befällt CryptXXX laut Trend Micro keine virtuellen Maschinen.

Eine weitere Besonderheit von CryptXXX ist ein Wächter, der parallel zur Verschlüsselungsroutine ausgeführt wird. Erkennt der Wächter ungewöhnliche Systemaktivitäten, hält er die Verschlüsselungsroutine an und startet sie anschließend neu.

Den Sperrbildschirm stuft Trend Micro indes als direkte Reaktion auf die Veröffentlichung eines Entschlüsselungstools für TeslaCrypt ein. Nutzer werden so davon abgehalten, ein solches Tool einzusetzen. Auf die von der Erpressersoftware genannten Bezahlseiten für das Lösegeld können Nutzer selbstverständlich direkt vom Sperrbildschirm zugreifen.

Im Unterschied zu TeslaCrypt erhöhen die Hintermänner von CryptXXX ihre Lösegeldforderung von anfänglich 500 Dollar zudem erst nach etwas mehr als 90 Stunden – TeslaCrypt gab seinen Opfer nur 24 Stunden, um die Geldforderung zu erfüllen. Trend Micro geht nun davon aus, dass die Änderungen gegenüber TeslaCrypt viele Cyberkriminelle zu einem Umstieg auf CryptXXX verleiten wird. „Wir erwarten weitere Updates, um diese Ransomware zu einem Alptraum für Nutzer zu machen, die keine saubere Ransomware-Lösung haben“, schreiben die Trend-Micro-Sicherheitsforscher Jaaziel Carlos, Anthony Melgarejo, Rhena Inocencio und Joseph C. Chen in einem Blogeintrag.

Das von Eset in der vergangenen Woche veröffentlichte Entschlüsselungstool für TeslaCrypt ist in der Lage, alle Dateien auf mit TeslaCrypt 3 oder 4 infizierten Rechnern zu entschlüsseln. Den dafür benötigten universellen Masterkey erhielt Eset auf sehr ungewöhnliche Weise: Die Hintermänner der Ransomware gaben ihn auf Nachfrage von Eset bereitwillig heraus. Dass sich dies bei CryptXXX oder anderen Erpressungsprogrammen wiederholt, ist eher unwahrscheinlich.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de