Erpresser-Software: Trend Micro weist auf TeslaCrypt-Nachfolger CryptXXX hin
Die Ransomware verschlüsselt nicht nur Dateien, sondern installiert auch einen Sperrbildschirm. Dies soll den Einsatz von Entschlüsselungstools unterbinden. Mittels des Exploit Kits Angler wird CryptXXX über kompromittierte Websites und Malvertising ausgeliefert.
Trend Micro ist auf einen potenziellen Nachfolger der Erpresser-Software TeslaCrypt gestoßen. Mit CryptXXX ist laut den Sicherheitsforschern eine neue Ransomware verfügbar, die direkt nach der Freigabe des Entschlüsselungswerkzeugs für TeslaCrypt eine wichtige Aktualisierung bekommen hat: Sie chiffriert nicht nur Dateien, sondern installiert zudem einen Sperrbildschirm, der jegliche Zugriffe auf den Desktop blockiert.
CryptXXX wird über kompromittierte Websites und Malvertising ausgeliefert, also über manipulierte Anzeigen, die das Exploit Kit Angler hosten. Sobald ein Anwender eine dieser Seiten besucht oder auf eine der fraglichen Anzeigen klickt, wird CryptXXX mittels der Schadsoftware BEDEP eingeschleust. Allerdings werden nur Windows-Rechner mit bekannten Sicherheitslücken infiziert. Laut Trend Micro befällt CryptXXX laut Trend Micro überdies keine virtuellen Maschinen.
Eine weitere Besonderheit der neuen Ransomware-Variante ist ein Wächter, der zur selben Zeit wie die Verschlüsselungsroutine ausgeführt wird. Erkennt der Wächter ungewöhnliche Systemaktivitäten, stoppt er die Verschlüsselungsroutine und startet sie im Anschluss neu.
Den Sperrbildschirm bewertet Trend Micro als unmittelbare Reaktion auf die Veröffentlichung eines Entschlüsselungswerkzeugs für TeslaCrypt. Anwender werden so davon abgehalten, ein derartiges Tool zu nutzen. Auf die von der Erpressersoftware genannten Bezahlseiten für das Lösegeld können Anwender natürlich direkt vom Sperrbildschirm aus zugreifen.
Anders als bei TeslaCrypt erhöhen die Hintermänner von CryptXXX ihre anfängliche Lösegeldforderung von 500 Dollar überdies erst nach rund 90 Stunden – TeslaCrypt gab seinen Opfern lediglich 24 Stunden Zeit, um die Forderung zu erfüllen. Trend Micro schätzt nun, dass die Änderungen im Vergleich zu TeslaCrypt viele Kriminelle zu einem Wechsel auf CryptXXX verleiten wird. “Wir erwarten weitere Updates, um diese Ransomware zu einem Alptraum für Nutzer zu machen, die keine saubere Ransomware-Lösung haben”, schreiben die Trend-Micro-Sicherheitsexperten Jaaziel Carlos, Anthony Melgarejo, Rhena Inocencio und Joseph C. Chen in einem Blogbeitrag.
Das von Eset in der letzten Woche freigegebene Entschlüsselungswerkzeug für TeslaCrypt ist in der Lage, sämtliche Dateien auf mit TeslaCrypt 3 respektive 4 infizierten Rechnern zu dechiffrieren. Den dafür erforderlichen universellen Masterkey bekam Eset auf sehr ungewöhnliche Weise: Die Urheber der Erpresser-Software gaben ihn auf Anfrage von Eset bereitwillig heraus. Dass sich dies bei CryptXXX oder anderen Erpressungsprogrammen wiederholt, ist allerdings eher unwahrscheinlich.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de