Wie man die Ransomware CryptXXX entschlüsselt

26 Apr 2016

Wenn es um Ransomware geht, sieht die Benutzererfahrung üblicherweise wie folgt aus: Sie öffnen eine Webseite und laden aus Versehen eine Software herunter und installieren diese. Es kann sogar sein, dass Sie nichts von all dem mitbekommen. Eine Zeit lang passiert gar nichts und nach einer Weile erscheint eine Benachrichtigung, dass all Ihre Dateien von einem Trojaner verschlüsselt worden sind, der ein Lösegeld einfordert, um sie wiederherzustellen. Sie überprüfen, ob das tatsächlich der Fall ist, und stellen fest: keine Ihrer Dateien lässt sich öffnen. Außerdem sehen Sie, dass diese nun mit der verdächtigen Dateiendung .crypt versehen sind.

cryptxxx-featured

Wenn Sie sich in dieser misslichen Lage befinden sollten, dann sieht es ganz so aus, als ob Ihr Betriebssystem mit der Ransomware CryptXXX infiziert worden ist. Es handelt sich um einen besonders üblen Trojaner, der Dateien verschlüsselt und Ihre persönlichen Daten und Ihre Bitcoins stiehlt. Aber wir haben auch gute Neuigkeiten: es gibt ein kostenloses Tool, das Ihr System von der Infektion befreien kann.

Was ist CryptXXX?

Falls Sie ein Handbuch zur Dateientschlüsselung suchen, können Sie diesen Teil überspringen — scrollen Sie einfach im Artikel weiter nach unten, um die entsprechenden Informationen zu finden. An dieser Stelle legen wir zunächst einmal einige Fakten dar.

Am 15. April entdeckten Experten von Proofpoint eine brandneue Ransomware, die das Exploit-Kit Angler verwendet, um Windows-Devices zu infizieren. Da die Cyberkriminellen ihrer Kreation keinen Namen gegeben hatten, nannten die Experten sie CryptXXX. Vermutlich haben sie diesen Namen gewählt, weil der Trojaner die gemeine Angewohnheit hat, die Dateiendung .crypt zu den Namen aller infizierten Dateien hinzuzufügen, und XXX ist der Zweitname von Angler.

CryptXXX ist ein interessantes Ransomware-Exemplar. Sie verschlüsselt Dateien auf allen angeschlossenen Datenspeichern, kurz nachdem der PC infiziert worden ist. Die Verzögerung ist von den Kriminellen beabsichtigt, da sie so ihre Opfer verwirren und es schwieriger nachzuvollziehen ist, welche Webseite die Malware verbreitet.

Nach der Verschlüsselung kreiert der Trojaner drei Anleitungen: eine Textdatei, eine Bilddatei und eine HTML-Webseite. Das Bild wird (vielleicht für mehr Klarheit) als Desktophintergrund eingestellt. Die Webseite wird in einem Browser geöffnet, und die Textdatei ist für alle Fälle auf der Festplatte abgespeichert. Alle Anleitungen enthalten einen ähnlichen Text.

Sie informieren die Opfer, dass deren Dateien mithilfe des starken Verschlüsselungsalgorithmus RSA4096 verschlüsselt worden sind und fordern ein Lösegeld in Höhe von umgerechnet 450 EUR, die in Bitcoins zu zahlen sind, um die Daten wiederherzustellen. Der Nutzer muss sich den Tor-Browser installieren und dem Link in der Anleitung folgen, um eine .onion-Webseite zu öffnen, die detaillierte Informationen sowie die Zahlungsmodalitäten enthält. Es gibt sogar eine Seite mit häufig gestellten Fragen — alles, um es so benutzerfreundlich wie möglich zu gestalten.

CryptXXX ist außerdem überaus gierig: die Ransomware verschlüsselt die Dateien nicht nur, sondern stiehlt außerdem Bitcoins, die auf den Festplatten der Opfer gespeichert waren und kopiert andere Daten, die den Cyberkriminellen nützlich sein könnte.

Es ist furchtbar, aber wir haben ein Gegenmittel!

In aller Regel ist es äußerst schwierig, eine universelle Entschlüsselungsmethode für moderne Ransomware zu finden. Aus diesem Grund sehen sich Opfer häufig dazu gezwungen, das Lösegeld zu zahlen. Wir raten Ihnen davon ab dies zu tun, es sei denn, es ist Ihre letzte Möglichkeit.

Zum Glück ist CryptXXX nicht so schwierig zu knacken. Experten von Kaspersky Lab kreierten ein Tool, mit dessen Hilfe Nutzer verschlüsselte Daten wiederherstellen können.

Der RannohDecryptor war ursprünglich dazu entwickelt worden, Dateien zu entschlüsseln, die von der Ransomware Rannoh infiziert worden waren. Gerade zur rechten Zeit enthielt das Tool einige nützliche Zusatzfeatures. Jetzt kann es ebenfalls verwendet werden, um Ihre Dateien nach der Aktivität von CryptXXX wiederherzustellen.

Falls die Ransomware CryptXXX sich also einen Weg in Ihr Betriebssystem gebahnt haben sollte, ist noch nicht alles verloren. Um Ihre Daten wiederherstellen zu können, benötigen wir eine unversehrte Back-up-Version (unverschlüsselt) von mindestens einer Datei, die von CryptXXX betroffen ist. Wenn Sie mehrere Dateien als Sicherheitskopie zur Verfügung haben, funktioniert die Entschlüsselung allerdings besser.

Führen Sie bitte folgenden Schritten aus:

1. Das Tool herunterladen und starten.

2. Die Einstellungen öffnen und die Laufwerkart (Wechsellaufwerk, Netzwerk oder Festplatte) zum Scannen auswählen. Wählen Sie nicht die Option „Verschlüsselte Dateien nach Entschlüsselung löschen“ aus, sofern Sie nicht 100-prozentig sicher sind, dass die entschlüsselten Dateien sich korrekt öffnen lassen.

 

3. Klicken Sie auf den Link „Scan starten“ und wählen Sie die verschlüsselte .crypt-Datei aus (die, von der Sie außerdem eine unverschlüsselte Sicherheitskopie haben).

4. Im nächsten Schritt wird das Tool Sie nach der unversehrten Datei fragen.

5. Danach beginnt RannohDecryptor damit, alle weiteren Dateien zu suchen, die ebenfalls die Dateiendung .crypt haben, und versucht alle Dateien zu entschlüsseln, die eine geringere Dateigröße haben als die unversehrte Datei. Je größer die Datei ist, die Sie in das Dienstprogramm einspeisen, umso mehr Dateien werden entschlüsselt.

Wappnen Sie sich im Vorfeld gegen Infektionen!

Es ist besser, das Schicksal nicht herauszufordern und Ihren PC bereits im Vorfeld vor einer Infektion durch CryptXXX zu schützen. Unser Entschlüsselungsprogramm funktioniert zwar im Moment, aber schon bald könnten Kriminelle eine neue, raffiniertere Version der gleichen Ransomware in Umlauf bringen. Es kommt sehr häufig vor, dass Straftäter den Code ihrer Malware ändern, so dass es unmöglich ist, infizierte Dateien zu entschlüsseln. Das ist beispielsweise mit der Ransomware TeslaCrypt passiert: es gab ein Dienstprogramm, das verschlüsselte Dateien erfolgreich wiederherstellen konnte, aber mittlerweile ist dieses Tool praktisch nutzlos.

 

Wir sollten außerdem nicht vergessen, dass CryptXXX persönliche Daten und Geld stiehlt — und es ist sicherlich keine gute Idee, diese mit Kriminellen zu teilen.

Befolgen Sie diese Regeln zur Cybersicherheit, um sich zu schützen:

1. Machen Sie regelmäßig Sicherheitskopien.

2. Installieren Sie alle wichtigen Aktualisierungen für Ihr Betriebssystem und Ihre Browser. Das Exploit-Kit Angler, das von CryptXXX verwendet wird, nutzt Sicherheitsschwachstellen aus, um die Ransomware herunterzuladen und zu installieren.

3. Installieren Sie eine geeignete Sicherheitslösung. Kaspersky Internet Security bietet mehrschichtigen Schutz vor Ransomware. Kaspersky Total Security ergänzt den Rundumschutz mit regelmäßigen automatischen Back-ups.

Weitere Informationen dazu, wie Sie sich vor Ransomware schützen können, finden Sie hier.

 

Update vom 13.05.2016

Das Kaspersky RannohDecryptor Tool wurde angepasst und entschlüsselt nun auch Dateien der aktuellen CryptoXXX-Version.