Proofpoint entdeckt neue Ransomware CryptXXX 2.0, die aktuelle Entschlüsselungs-Tools unwirksam macht

(openPR) Proofpoint hat kürzlich in einem neuen Blog-Eintrag die Entdeckung von CryptXXX 2.0 bekannt gemacht. Die neue Ransomware macht die erst im April veröffentlichten Entschlüsselungs-Tools für den ursprünglichen CryptXXX bereits unwirksam. CryptXXX 2.0 verschlüsselt Computer-Bildschirme und macht infizierte Rechner sofort unbrauchbar.

Die wichtigsten Fakten sind:

• Kaspersky hatte bezüglich der Ransomware CryptXXX ein Entschlüsselungs-Tool veröffentlicht, mit dem infizierte Benutzer die durch die Ransomware verschlüsselten Dateien wiederherstellen konnten. Allerdings ist die neueste Version des CryptXXX, die erst kürzlich auftauchte, gegen das Tool resistent und verhindert sämtliche Entschlüsselungen.
• Am 28. April stellte Proofpoint eine interessante Verhaltensänderung in CryptXXX Version 2.0 fest. Die neue Version kopierte die legitime rundll32.exe Datei in einen temporären Ordner und benannte diese in svchost.exe um. Diese umbenannte rundll32 rief dann den ursprünglichen CryptXXX-Prozess mit einer anderen Entry-Funktion, MS111, auf. Allerdings ergab sich die größte Änderung mit der Version 2.006. Die Ransomware sperrt den kompletten Bildschirm und macht die infizierten Computer unbrauchbar.
• Es wurde noch nicht bestätigt, dass eine Zahlung über eine „persönliche Homepage“ angeboten wird, um den Bildschirm zu entsperren. Proofpoint nimmt an, dass, basierend auf der Reveton „Police locker“ Bedrohung, (es wurde zuvor erwähnt, dass die Akteure, die verantwortlich für CryptXXX waren, auch zu Reveton gehören), dies ebenfalls ein Feature der Ransomware ist. Es wird vermutet, dass der Computer regelmäßig mit dem C&C Kontakt aufnimmt, um die erwartete Zahlung zu überprüfen.
• Proofpoint nahm zuerst an, dass die neue Display-Sperre ein weiterer krimineller Versuch ist, dass Opfer daran zu hindern, das Kaspersky Entschlüsselungs-Tool zu verwenden. Bei näherer Betrachtung fand Proofpoint allerdings heraus, dass die Akteure eine Methode entdeckt haben, die neueste Version des Entschlüsselungswerkzeugs zu umgehen.

Der vollständige Blog-Beitrag ist hier einsehbar: https://www.proofpoint.com/us/threat-insight/post/cryptxxx2-ransomware-authors-strike-back-against-free-decryption-tool