News

CryptXXX mit stärkere Verschlüsselung und Schutzmechanismen

Die Betreiber des rasch Fahrt aufnehmenden Schädlings CryptXXX haben ein Update produziert, das eine verbesserte Verschlüsselung und neue Technologien zum Schutz vor Entdeckung und Analyse mit sich bringt. Nach Angaben von SentinelOne erbeutete die neuste Variante dieser Ransomware innerhalb von zwei Wochen um die 50.000 Dollar in Bitcoin.

Wie der Analyst Caleb Fenton im Blog des Unternehmens schreibt, wird der neue CryptXXX in erster Linie via Spam verbreitet. Dieser Konkurrent von Locky hat erst vor kurzem die Bühne betreten, doch er entwickelt sich schnell. So wurde erst Ende Mai die letzte Spielart von CryptXXX entdeckt, die mit einem Modul zum Diebstahl von Accountdaten aus Anwendungen ausgestattet war.

Eine Analyse hat ergeben, dass durch die neuste Aktualisierung der Erpressersoftware in erster Linie alle möglichen Mängel beseitigt werden sollten, die die Entwicklung von Tools zur kostenlosen Dechiffrierung der Dateien ermöglichen. So kann auch der Decodierer, der dem spezialisierten Tool RannohDecryptor von Kaspersky Lab hinzugefügt wurde, gegen die Version 3.100 von CryptXXX nichts ausrichten, obwohl er sie erkennt und obwohl er nach wie vor gegen die Versionen 1 und 2 dieses Schädlings seine Wirkung zeigt.

Die neuste CryptXXX-Variante verschlüsselt die Dateien laut SetinelOne, indem sie die kryptographischen Verfahren RSA und RC4 miteinander kombiniert. Dabei wird an den Namen der verschlüsselten Datei die Erweiterung .cryp1 angehängt (früher wurden die Erweiterungen .crypz und .crypt verwendet). Eine Analyse des Inhalts der Bitcoin-Wallet, die von den Cybergangstern zur Bezahlung des Lösegeldes angegeben wurde, hat gezeigt, dass in der Zeit vom 4. bis zum 21. Juni mehr als 60 Eingänge verzeichnet wurden – in Höhe von 1,2 oder 2,4 Bitcoin.

Die Analyse des neuen Samples hat auch eine zusätzlich Tarnung aufgedeckt: Die Payload war in einer Kopie einer DLL versteckt, die von der Videobearbeitungssoftware CyberLink PowerDVD Cinema verwendet wird. „Ein Schnellcheck der Eigenschaften dieser schädlichen DLL hat ergeben, dass sie allem Anschein nach Elemente der legitimen DLL mit dem Namen _BigBang.dll verwendet“, schreibt Fenton im Blog.

Selbst nach dem Entpacken sah der Inhalt der DLL „größtenteils harmlos“ aus, eine etwas genauere Analyse bestätigte jedoch, dass das lediglich Tarnung ist. Einige importierte Funktionen, die mit der Verschlüsselung zusammenhängen, erschienen den Forschern eindeutig fehl am Platze. „Die Export-Liste ist zu groß für ein Programm, das anscheinend keine legitime Funktonalität aufzuweisen hat“, erklärt der Experte weiter. „Überdies unterscheiden sich die importierten und exportierten Funktionen deutlich von der Funktionalität der legitimen _BigBang.dll. Es ist fest davon auszugehen, dass diese Funktionen nur eingebaut wurden, um die Analyse zu erschweren.“

Die schädliche DLL durchläuft eine Dechiffrierungs- und Entpackungs-Routine. Der Entpacker bestimmt auch den Standort des Windows-Ordners Startup, indem er den Registry-Key SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup anfragt. Dadurch wird die HTML-Mitteilung mit der Lösegeldforderung und den Instruktionen so gespeichert, dass sie bei jedem Star des Computers angezeigt wird.

„Das analysierte Sample wurde ursprünglich aus einem Windows-Shortcut (.lnk-Datei) ausgeführt“, erläutert Fenton. „Der Shortcut verweist auf rundll32.exe F0F3.tmp.dll, MSX3.“ Die Ausführung des Befehls rundll32 lädt F0F3.tmp.dll und daraufhin wird die Funktion MSX3 ausgeführt. „Nach dem Erhalt der MSX3-Adresse springt die Ausführung auf dieses Adresse über, die Verschlüsselung der Dateien beginnt und die Erpressung nimmt ihren Lauf.“

Quelle: Threatpost

CryptXXX mit stärkere Verschlüsselung und Schutzmechanismen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach