Gratistool für Ransomware-Opfer: Kaspersky knackt CryptXXX

Den Sicherheitsforschern des Kaspersky Lab ist es gelungen, die noch junge Ransomware CryptXXX aus der Rannoh-Schädlingsfamilie zu knacken. Das Unternehmen stellt für Opfer ein kostenloses Entschlüsselungswerkzeug bereit, dass die Daten entsperren kann.

Lösung für Erpressungsopfer

Der erst Mitte April von den Sicherheitsexperten von Proofpoint entdeckte Trojaner mit dem Namen CryptXXX wird wie viele dieser Schadprogramme über E-Mails verbreitet, die entweder sofort mit infiziertem Anhang ausgestattet werden oder Opfer auf eine kompromittierte Webseite weiterleiten. Im aktuellen Fall sind dieses Seiten dann mit dem bekannten Exploit Kit Angler ausgestattet, dass automatisch offenen Schwachstellen des Systems ermittelt.

CryptXXX lässt sich nach der Infizierung des Systems zunächst etwas Zeit, um aktiv zu werden - vermutlich auch, um eine Rekonstruktion des Infektionspunktes zu erschweren. Nach Aktivierung beginnt die Ransomware dann, Dateien auf dem System aber auch auf angeschlossenen Speichermedien zu verschlüsseln und diese mit der Endung .crypt zu kennzeichnen. Die Systembesitzer werden darüber informiert, dass die Inhalte mit RSA-4096-Algorithmus verschlüsselt seien und eine Freigabe nur gegen Zahlung von 500 Dollar per Bitcoins erfolge. Im Hintergrund liest das Programm außerdem Inhalte wie Passwörter aus und versucht Bitcoin-Guthaben zu stehlen.

Entschlüsselungsprogramm kostenlos

Wie die Sicherheitsforscher des Kaspersky Lab jetzt in einem Blogbeitrag mitteilen, ist es gelungen, der Verschlüsselungsmechanismus von CryptXXX zu knacken. Dafür wurde ein Entschlüsselungsprogramm, dass für die Rannoh-Familie entwickelt worden war, erweitert. Das Tool wird von dem Unternehmen kostenlos zur Verfügung gestellt, kann aber nur unter einer Voraussetzung Daten entschlüsseln: Es muss mindestens eine der betroffenen Dateien in einer unverschlüsselten Version vorliegen - nur so kann die Software den richtigen Schlüssel ableiten. Bei Erfolg durchsucht das Tool automatisch die Festplatte nach Dateien mit der Endung .crypt und befreit diese.

Wie Sicherheitsexperte John Snow im Beitrag zum CryptXXX Decryptor schreibt, solle das Tool Nutzer ab nicht in falscher Sicherheit wiegen: "Unser Entschlüsselungswerkzeug funktioniert heute, aber Kriminelle können bald neue Versionen derselben Ransomware veröffentlichen, die schlauer sind", so Snow.

Kaspersky, Kaspersky Lab, CryptXXX, CryptXXX Decrypter Kaspersky

Mehr zum Thema: Kaspersky

Diese Nachricht empfehlen

Kommentieren10

Weitere Nachrichten zum Thema Kaspersky OS: Eugene Kaspersky überrascht mit eigenem BetriebssystemCryptolocker TeslaCrypt macht dicht und veröffentlicht Master-KeyPünktlich zur Live-Saison: Ransomware sperrt Fernseher mit AndroidÜber 3 Millionen Server sind von aktuell aktiver Ransomware bedrohtRansomware Petya geknackt: Erstellung von "Löse-Key" per WebRightscorp: Ransomware soll Urheberrechtsverletzer bestrafen