Technik
Bitte in Bitcoins: Wer CryptXXX zum Opfer fällt, muss zahlen.
Bitte in Bitcoins: Wer CryptXXX zum Opfer fällt, muss zahlen.(Foto: Graham Cluley)

CryptXXX umgeht Entschlüsselung: Erpresser-Trojaner wird gefährlicher

Die Gefahr durch den Erpresser-Trojaner CryptXXX ist noch nicht gebannt. Ein kostenloses Tool befreite Betroffene zwischenzeitlich zwar aus den Fängen der Ransomware. Ein Update macht die Entschlüsselungssoftware jetzt aber wirkungslos.

Der Erpresser-Trojaner CryptXXX ist bereits seit einigen Wochen im Umlauf, eine kostenlose Entschlüsselungssoftware nahm der Ransomware zwischenzeitlich den größten Schrecken. Doch inzwischen gibt es eine Neuauflage für CryptXXX, die den Einsatz von speziellen Gegenmitteln vorerst verhindert. Das Update könnte dabei eine direkte Reaktion auf die überraschende Veröffentlichung der Entschlüsselungssoftware für Teslacrypt sein.

Entdeckt wurde CryptXXX im März. Der Schädling verbreitet sich über Spam-Mails, die einen verseuchten Anhang enthalten, oder über kompromittierte Websites. Sein fieses Vorgehen ähnelt dabei dem von anderen Erpresser-Trojanern. Die sogenannte Ransomware beginnt kurz nach der Installation damit, Dateien auf dem infizierten System zu verschlüsseln und damit für den Nutzer unbrauchbar zu machen. Wer seine Daten zurückhaben möchte, muss ein Lösegeld zahlen. Im Fall von CryptXXX fordern die Erpresser mehr als 400 Euro in Form von digitalen Bitcoins.

Fieser Sperrbildschirm

Aufatmen konnten Opfer von CryptXXX im April, als die Antivirus-Spezialisten von Kaspersky ein kostenloses Tool veröffentlichten, mit dem befallene Dateien wieder entschlüsselt werden konnten. Jetzt hat die Ransomware aber ein Update erhalten, das das Gratis-Tool aushebelt. Das berichtet "ZDNet" unter Berufung auf das Sicherheitsunternehmen "Trend Micro". Die neue Version von CryptXXX installiert demnach einen Sperrbildschirm, der jeglichen Zugriff auf den Desktop und damit auch das Ausführen der Entschlüsselungssoftware verhindert.  

Die Erpresser fordern ein Lösegeld, laut ZDNet zu Anfang 500 US-Dollar. Nach etwas mehr als 90 Stunden erhöhe sich diese Summe. Wie auch bei Teslacrypt werden Opfer auf eine Bezahlseite geleitet, von wo aus sie sich freikaufen können. Die Seite ist als einzige direkt vom Sperrbildschirm aus zugänglich.  

Den Sperrbildschirm stufe Trend Micro als direkte Reaktion auf die überraschende Kehrtwende der Teslacrypt-Macher ein, berichtet ZDNet. Die Erpresser hatten sich öffentlich für die Verbreitung ihrer Ransomware entschuldigt und einen Master-Schlüssel veröffentlicht, mit dem sich alle verschlüsselten Dateien kostenfrei wieder herstellen lassen. Im Vorfeld der öffentlichen Entschuldigung war einem Eset-Sicherheitsforscher aber bereits aufgefallen, dass viele Verbreiter von Teslacrypt inzwischen auf CryptXXX umgestiegen seien. Trend Micro geht laut ZDNet davon aus, dass die Änderungen weitere Cyberkriminelle zum Umstieg bewegen werden.

Quelle: n-tv.de

Empfehlungen