News

CryptXXX-Autoren machen Decodierer unschädlich

Die Reaktion der Entwickler von CryptXXX auf das Erscheinen eines Decodierers ließ nicht lange auf sich warten: Wie Softpedia mit Verweis auf Proofpoint schreibt, haben sie eilig ein Update herausgegeben, das es ermöglicht, dieses Rettungsinstrument zu umgehen. Überdies blockiert der Erpresser nun auch noch den Bildschirm und bringt das Opfer so nicht nur um den Zugriff auf die verschlüsselten Dateien, sondern auf das gesamte System. Das hat zur Folge, dass man das infizierte System nun gar nicht mehr benutzen kann, noch nicht einmal, um das Lösegeld zu bezahlen.

Der erpresserische Verschlüsselungsschädling CryptXXX wurde Mitte letzten Monats von Proofpoint entdeckt. Zu dem Zeitpunkt war Angler in sein Verbreitungsschema involviert, mit Hilfe dessen Bedep geladen wird, der den Verschlüsseler und Dridex lädt. Eine Analyse hat gezeigt, dass die aktualisierte Version neben der Umsetzung der für Ransomware üblichen Funktionalität auch in der Lage ist, Daten aus IM-, FTP- und E-Mail-Clients sowie aus dem Browser zu stehlen. Die Forscher haben zudem Hinweise aus eine Verwandtschaft von CryptXXX mit dem berühmt-berüchtigten „Polizeivirus“ Reveton gefunden und nehmen an, dass hinter beiden Schädlingen ein und dieselbe Verbrecherbande steckt.

Nachdem sie die erste Version von CryptXXX herausgebracht hatten, machten sich die Erpresser umgehend an seine Vervollkommnung. „Seit seinem ersten Erscheinen konnten wir schon eine Vielzahl von Entwicklungsschritten beobachten, allerdings waren dieses Veränderungen so gering, dass es sich nicht lohnte, einzeln darauf einzugehen“, heißt es bei Proofpoint. „Wie zu erwarten war, ist die Zahl derjenigen, die diesen Schädling in Umlauf bringen, gestiegen … In den letzten Wochen ist in der globalen Drive-by-Arena eine Migration mehrerer führender Player von Teslacrypt/Locky zu CryptXXX/Cerber zu beobachten.“

Als Reaktion auf die neue Bedrohung veröffentlichten die Experten von Kaspersky Lab operativ einen Decodierer, der die kostenlose Wiederherstellung der von CryptXXX verschlüsselten Dateien ermöglicht. Leider muss dieses Tool nun mit dem Erscheinen von Version 2.006 umgebaut werden, denn gegen diese Version ist es machtlos. Das liegt daran, dass für den Decodierer eine Originalkopie zumindest einer verschlüsselten Datei benötigt wird, damit er alle Dateien dieser oder von geringerer Größe wiederherstellen kann. Vermutlich hat diese Einschränkung den Cybergangstern den Weg zur Umgehung des Decodierers gewiesen. Eine von Proofpoint durchgeführte Analyse von CryptXXX 2.006 hat ergeben, dass diese Version höchstwahrscheinlich die Programmbibliothek zur Komprimierung zlib 1.2.2 verwendet. Die Forscher nehmen an, dass genau diese Weiterentwicklung die Funktion des Decodierers untergräbt, der jetzt beim Start regelmäßig die Fehlermeldung ausgibt: „Die Größe der verschlüsselten Datei stimmt nicht mit der Größe der Originaldatei überein.“

Der aktualisierte CryptXXX zeigt außerdem über den gesamten Bildschirm ein Logo an, mit dem er von seiner Anwesenheit kündet und effektiv den Desktop blockiert (genau so ging Ransomware der vorherigen Generation vor, insbesondere Reveton). Bemerkenswert ist, dass in dieser Mitteilung in englischer Sprache ein Link auf den Google-Übersetzer enthalten ist, der benutzt werden soll, sollte das Opfer eine andere Sprache sprechen. Nach Aussage von Proofpoint ist dieser Link – wie auch alle anderen in der Nachricht auf dem Hintergrundbild – nicht aktiv: Das Opfer kann den automatischen Übersetzer, so gern es auch wollte, auf seinem Computer nicht verwenden.

Die Experten konnten sich nicht davon überzeugen, dass durch die Bezahlung des Lösegeldes auch die Blockierung des Bildschirms aufgehoben wird. Aufgrund ihrer Erfahrungen mit Reveton äußerten sie aber dennoch die Vermutung, dass eine solche Funktion grundsätzlich in Ransomware-Schädlingen dieser Art vorhanden sein sollte, d.h. der Computer sollte sich regelmäßig mit dem C&C verbinden und den Bezahlstatus überprüfen.

Die Namen der Dateien mit der Lösegeldforderung, die von CryptXXX in den Ordnern mit den verschlüsselten Daten erstellt werden, haben sich geändert. Früher hießen sie de_crypt_readme mit der Erweiterung .bmp, .txt oder .html. Die Version 2 des Schädlings verwendet als Name eine persönliche ID, die dem Opfer auf der Grundlage der Daten auf seinem Rechner zugeteilt wird.

Eine geringfügige Veränderung wurde zudem auf der Seite mit den Instruktionen zur Abwicklung der Zahlung registriert: Die Online-Gangster nennen ihren Entschlüsseler nun Google Decrypter anstatt Cryptowall Decrypter, wie er früher hieß.

Die Methode zur Verbreitung von CryptXXX 2.006 hat sich nicht geändert, die Erpresser benutzen nach wie vor schädliche Banner als Redirects auf Angler, der das Blockierprogramm direkt nach der Verarbeitung des Exploits oder über einen Mittler, nämlich Bedep, ausliefert.

Quelle: Softpedia

CryptXXX-Autoren machen Decodierer unschädlich

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach