Erpressersoftware: Der TeslaCrypt-Nachfolger CryptXXX wird noch schlimmer

(Bild: Shutterstock/Blue Island)

Erpressersoftware verschlüsselt eure Daten und fordert dann ein Lösegeld. Mit CryptXXX wurde eine neue solche Software entdeckt, die zudem einen Sperrbildschirm installiert, damit man nicht mehr ans Betriebssystem kommt.

Trend Micro hat mit CryptXXX einen neue Erpressersoftware entdeckt, die nicht nur Dateien verschlüsselt sondern dem Anwender auch den Zugriff auf den Desktop verbietet. .

Verteilt wird CryptXXX über kompromittierte Websites und Malvertising, also manipulierte Anzeigen, die das Exploit Kit Angler hosten. Sobald ein Nutzer eine dieser Seiten besucht oder auf eine derartige Anzeige klickt, wird CryptXXX mithilfe der Malware BEDEP eingeschleust. Infiziert werden allerdings nur Windows-Rechner mit bekannten Schwachstellen. Zudem befällt CryptXXX laut Trend Micro keine virtuellen Maschinen.

Eine weitere Besonderheit von CryptXXX ist ein Wächter, der parallel zur Verschlüsselungsroutine ausgeführt wird. Erkennt der Wächter ungewöhnliche Systemaktivitäten, hält er die Verschlüsselungsroutine an und startet sie anschließend neu.

Lies auch: Erpresser-Software: Warnung vor riesiger Ransomware-Welle

Den Sperrbildschirm stuft Trend Micro indes als direkte Reaktion auf die Veröffentlichung eines Entschlüsselungstools für TeslaCrypt ein. Nutzer werden so davon abgehalten, ein solches Tool einzusetzen. Auf die von der Erpressersoftware genannten Bezahlseiten für das Lösegeld können Nutzer selbstverständlich direkt vom Sperrbildschirm zugreifen.

Im Unterschied zu TeslaCrypt erhöhen die Hintermänner von CryptXXX ihre Lösegeldforderung von anfänglich 500 Dollar zudem erst nach etwas mehr als 90 Stunden – TeslaCrypt gab seinen Opfer nur 24 Stunden, um die Geldforderung zu erfüllen. Trend Micro geht nun davon aus, dass die Änderungen gegenüber TeslaCrypt viele Cyberkriminelle zu einem Umstieg auf CryptXXX verleiten wird. „Wir erwarten weitere Updates, um diese Ransomware zu einem Alptraum für Nutzer zu machen, die keine saubere Ransomware-Lösung haben“, schreiben die Trend-Micro-Sicherheitsforscher Jaaziel Carlos, Anthony Melgarejo, Rhena Inocencio und Joseph C. Chen in einem Blogeintrag.

Das von Eset in der vergangenen Woche veröffentlichte Entschlüsselungstool für TeslaCrypt ist in der Lage, alle Dateien auf mit TeslaCrypt 3 oder 4 infizierten Rechnern zu entschlüsseln. Den dafür benötigten universellen Masterkey erhielt Eset auf sehr ungewöhnliche Weise: Die Hintermänner der Ransomware gaben ihn auf Nachfrage von Eset bereitwillig heraus. Dass sich dies bei CryptXXX oder anderen Erpressungsprogrammen wiederholt, ist eher unwahrscheinlich.

Tags :Quellen:Mit Material von Stefan Beiersmann, ZDNet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising