CryptXXX-Autoren machen Decodierer unschädlich

Die Reaktion der Entwickler von CryptXXX auf das Erscheinen eines Decodierers ließ nicht lange auf sich warten: Wie Softpedia mit Verweis auf Proofpoint schreibt, haben sie eilig ein Update herausgegeben, das es ermöglicht, dieses Rettungsinstrument zu umgehen. Überdies blockiert der Erpresser nun auch noch den Bildschirm und bringt das Opfer so nicht nur um den Zugriff auf die verschlüsselten Dateien, sondern auf das gesamte System. Das hat zur Folge, dass man das infizierte System nun gar nicht mehr benutzen kann, noch nicht einmal, um das Lösegeld zu bezahlen.

Der erpresserische Verschlüsselungsschädling CryptXXX wurde Mitte letzten Monats von Proofpoint entdeckt. Zu dem Zeitpunkt war Angler in sein Verbreitungsschema involviert, mit Hilfe dessen Bedep geladen wird, der den Verschlüsseler und Dridex lädt. Eine Analyse hat gezeigt, dass die aktualisierte Version neben der Umsetzung der für Ransomware üblichen Funktionalität auch in der Lage ist, Daten aus IM-, FTP- und E-Mail-Clients sowie aus dem Browser zu stehlen. Die Forscher haben zudem Hinweise aus eine Verwandtschaft von CryptXXX mit dem berühmt-berüchtigten „Polizeivirus“ Reveton gefunden und nehmen an, dass hinter beiden Schädlingen ein und dieselbe Verbrecherbande steckt.

Nachdem sie die erste Version von CryptXXX herausgebracht hatten, machten sich die Erpresser umgehend an seine Vervollkommnung. „Seit seinem ersten Erscheinen konnten wir schon eine Vielzahl von Entwicklungsschritten beobachten, allerdings waren dieses Veränderungen so gering, dass es sich nicht lohnte, einzeln darauf einzugehen“, heißt es bei Proofpoint. „Wie zu erwarten war, ist die Zahl derjenigen, die diesen Schädling in Umlauf bringen, gestiegen … In den letzten Wochen ist in der globalen Drive-by-Arena eine Migration mehrerer führender Player von Teslacrypt/Locky zu CryptXXX/Cerber zu beobachten.“

Als Reaktion auf die neue Bedrohung veröffentlichten die Experten von Kaspersky Lab operativ einen Decodierer, der die kostenlose Wiederherstellung der von CryptXXX verschlüsselten Dateien ermöglicht. Leider muss dieses Tool nun mit dem Erscheinen von Version 2.006 umgebaut werden, denn gegen diese Version ist es machtlos. Das liegt daran, dass für den Decodierer eine Originalkopie zumindest einer verschlüsselten Datei benötigt wird, damit er alle Dateien dieser oder von geringerer Größe wiederherstellen kann. Vermutlich hat diese Einschränkung den Cybergangstern den Weg zur Umgehung des Decodierers gewiesen. Eine von Proofpoint durchgeführte Analyse von CryptXXX 2.006 hat ergeben, dass diese Version höchstwahrscheinlich die Programmbibliothek zur Komprimierung zlib 1.2.2 verwendet. Die Forscher nehmen an, dass genau diese Weiterentwicklung die Funktion des Decodierers untergräbt, der jetzt beim Start regelmäßig die Fehlermeldung ausgibt: „Die Größe der verschlüsselten Datei stimmt nicht mit der Größe der Originaldatei überein.“

Der aktualisierte CryptXXX zeigt außerdem über den gesamten Bildschirm ein Logo an, mit dem er von seiner Anwesenheit kündet und effektiv den Desktop blockiert (genau so ging Ransomware der vorherigen Generation vor, insbesondere Reveton). Bemerkenswert ist, dass in dieser Mitteilung in englischer Sprache ein Link auf den Google-Übersetzer enthalten ist, der benutzt werden soll, sollte das Opfer eine andere Sprache sprechen. Nach Aussage von Proofpoint ist dieser Link – wie auch alle anderen in der Nachricht auf dem Hintergrundbild – nicht aktiv: Das Opfer kann den automatischen Übersetzer, so gern es auch wollte, auf seinem Computer nicht verwenden.

Die Experten konnten sich nicht davon überzeugen, dass durch die Bezahlung des Lösegeldes auch die Blockierung des Bildschirms aufgehoben wird. Aufgrund ihrer Erfahrungen mit Reveton äußerten sie aber dennoch die Vermutung, dass eine solche Funktion grundsätzlich in Ransomware-Schädlingen dieser Art vorhanden sein sollte, d.h. der Computer sollte sich regelmäßig mit dem C&C verbinden und den Bezahlstatus überprüfen.

Die Namen der Dateien mit der Lösegeldforderung, die von CryptXXX in den Ordnern mit den verschlüsselten Daten erstellt werden, haben sich geändert. Früher hießen sie de_crypt_readme mit der Erweiterung .bmp, .txt oder .html. Die Version 2 des Schädlings verwendet als Name eine persönliche ID, die dem Opfer auf der Grundlage der Daten auf seinem Rechner zugeteilt wird.

Eine geringfügige Veränderung wurde zudem auf der Seite mit den Instruktionen zur Abwicklung der Zahlung registriert: Die Online-Gangster nennen ihren Entschlüsseler nun Google Decrypter anstatt Cryptowall Decrypter, wie er früher hieß.

Die Methode zur Verbreitung von CryptXXX 2.006 hat sich nicht geändert, die Erpresser benutzen nach wie vor schädliche Banner als Redirects auf Angler, der das Blockierprogramm direkt nach der Verarbeitung des Exploits oder über einen Mittler, nämlich Bedep, ausliefert.

Quelle: Softpedia

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.