CryptXX lässt sich eine Stunde Zeit, bevor er zuschlägt.(Foto: imago/Westend61)
Mittwoch, 27. April 2016
Gratis-Tool entschlüsselt Dateien Erpresser-Trojaner CryptXXX geknackt
CryptXXX ist ein mieser Erpresser-Trojaner, der Dateien von Nutzern
verschlüsselt und für die Wiederherstellung Lösegeld fordert. Betroffene
müssen sich aber nicht freikaufen, ein Tool befreit ihre Inhalte aus den
Klauen der Ransomware.
CryptXXX ist ein relativ neuer Verschlüsselungs-Trojaner, der erst im
März entdeckt wurde. Nutzer fangen sich den Schädling über Spam-Mails
ein, die einen verseuchten Anhang haben oder auf kompromittierte
Webseiten verlinken. Kurz nach der Installation verschlüsselt der
Trojaner Dateien auf dem infizierten System und fügt dem Dateinamen die
Endung ".crypt" hinzu. Opfer sehen dann eine Nachricht auf ihrem
Bildschirm, in der die verantwortlichen Gangster behaupten, Dateien mit
Hilfe des starken Algorithmus RSA-4096 verschlüsselt zu haben. Sie
könnten nur gegen ein Lösegeld in Bitcoins in Höhe von mehr als 400 Euro
wieder hergestellt werden.
Eine Datei muss übrig sein
Antivirus-Software-Hersteller Kaspersky hat aber herausgefunden, dass
CryptXXX nicht ganz so stark verschlüsselt, wie in der
Erpresser-Botschaft behauptet. Das russische Unternehmen konnte daher
ein Tool entwickeln, dass befallene Dateien wieder entschlüsselt. Nutzer
können es kostenlos auf einer deutschsprachigen Support-Seite
herunterladen. Der RannohDecryptor hilft auch bei Verschlüsselungen
durch andere Erpressertrojaner der Gattung Trojan-Ransom.Win32.Rannoh.
Kleiner Haken: Für die Entschlüsselung benötigt Kaspersky mindestens
eine nicht chiffrierte Original-Datei.
CryptXXX ist übrigens nicht nur ein mieser Erpresser, sondern auch ein
Dieb. Hat er den Weg auf einen Computer gefunden, nutzt er die
Gelegenheit auch dazu, das System nach Passwörtern zu scannen. Außerdem
soll der Trojaner laut "Gulli.com" dazu in der Lage sein, Bitcoins von
betroffenen Nutzern zu stehlen. Wie er das macht, sei allerdings noch
nicht bekannt. Experten gingen davon aus, dass CryptXXX ähnlichen
Schaden wie Locky anrichten kann, schreibt das Tech-Magazin. Die
Ransomware sei nicht von Anfängern, sondern von Personen, die "wirklich
Ahnung haben", entwickelt.