CryptXXX mit stärkere Verschlüsselung und Schutzmechanismen

Die Betreiber des rasch Fahrt aufnehmenden Schädlings CryptXXX haben ein Update produziert, das eine verbesserte Verschlüsselung und neue Technologien zum Schutz vor Entdeckung und Analyse mit sich bringt. Nach Angaben von SentinelOne erbeutete die neuste Variante dieser Ransomware innerhalb von zwei Wochen um die 50.000 Dollar in Bitcoin.

Wie der Analyst Caleb Fenton im Blog des Unternehmens schreibt, wird der neue CryptXXX in erster Linie via Spam verbreitet. Dieser Konkurrent von Locky hat erst vor kurzem die Bühne betreten, doch er entwickelt sich schnell. So wurde erst Ende Mai die letzte Spielart von CryptXXX entdeckt, die mit einem Modul zum Diebstahl von Accountdaten aus Anwendungen ausgestattet war.

Eine Analyse hat ergeben, dass durch die neuste Aktualisierung der Erpressersoftware in erster Linie alle möglichen Mängel beseitigt werden sollten, die die Entwicklung von Tools zur kostenlosen Dechiffrierung der Dateien ermöglichen. So kann auch der Decodierer, der dem spezialisierten Tool RannohDecryptor von Kaspersky Lab hinzugefügt wurde, gegen die Version 3.100 von CryptXXX nichts ausrichten, obwohl er sie erkennt und obwohl er nach wie vor gegen die Versionen 1 und 2 dieses Schädlings seine Wirkung zeigt.

Die neuste CryptXXX-Variante verschlüsselt die Dateien laut SetinelOne, indem sie die kryptographischen Verfahren RSA und RC4 miteinander kombiniert. Dabei wird an den Namen der verschlüsselten Datei die Erweiterung .cryp1 angehängt (früher wurden die Erweiterungen .crypz und .crypt verwendet). Eine Analyse des Inhalts der Bitcoin-Wallet, die von den Cybergangstern zur Bezahlung des Lösegeldes angegeben wurde, hat gezeigt, dass in der Zeit vom 4. bis zum 21. Juni mehr als 60 Eingänge verzeichnet wurden – in Höhe von 1,2 oder 2,4 Bitcoin.

Die Analyse des neuen Samples hat auch eine zusätzlich Tarnung aufgedeckt: Die Payload war in einer Kopie einer DLL versteckt, die von der Videobearbeitungssoftware CyberLink PowerDVD Cinema verwendet wird. „Ein Schnellcheck der Eigenschaften dieser schädlichen DLL hat ergeben, dass sie allem Anschein nach Elemente der legitimen DLL mit dem Namen _BigBang.dll verwendet“, schreibt Fenton im Blog.

Selbst nach dem Entpacken sah der Inhalt der DLL „größtenteils harmlos“ aus, eine etwas genauere Analyse bestätigte jedoch, dass das lediglich Tarnung ist. Einige importierte Funktionen, die mit der Verschlüsselung zusammenhängen, erschienen den Forschern eindeutig fehl am Platze. „Die Export-Liste ist zu groß für ein Programm, das anscheinend keine legitime Funktonalität aufzuweisen hat“, erklärt der Experte weiter. „Überdies unterscheiden sich die importierten und exportierten Funktionen deutlich von der Funktionalität der legitimen _BigBang.dll. Es ist fest davon auszugehen, dass diese Funktionen nur eingebaut wurden, um die Analyse zu erschweren.“

Die schädliche DLL durchläuft eine Dechiffrierungs- und Entpackungs-Routine. Der Entpacker bestimmt auch den Standort des Windows-Ordners Startup, indem er den Registry-Key SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup anfragt. Dadurch wird die HTML-Mitteilung mit der Lösegeldforderung und den Instruktionen so gespeichert, dass sie bei jedem Star des Computers angezeigt wird.

„Das analysierte Sample wurde ursprünglich aus einem Windows-Shortcut (.lnk-Datei) ausgeführt“, erläutert Fenton. „Der Shortcut verweist auf rundll32.exe F0F3.tmp.dll, MSX3.“ Die Ausführung des Befehls rundll32 lädt F0F3.tmp.dll und daraufhin wird die Funktion MSX3 ausgeführt. „Nach dem Erhalt der MSX3-Adresse springt die Ausführung auf dieses Adresse über, die Verschlüsselung der Dateien beginnt und die Erpressung nimmt ihren Lauf.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.