{"id":7513,"date":"2016-04-26T16:19:21","date_gmt":"2016-04-26T16:19:21","guid":{"rendered":"https:\/\/kasperskydaily.com\/germany\/?p=7513"},"modified":"2019-11-22T12:27:26","modified_gmt":"2019-11-22T10:27:26","slug":"cryptxxx-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/cryptxxx-ransomware\/7513\/","title":{"rendered":"Wie man die Ransomware CryptXXX entschl\u00fcsselt"},"content":{"rendered":"<p>Wenn es um <a href=\"https:\/\/www.kaspersky.de\/blog\/infografik-ransomware-wenn-ihr-geraet-als-geisel-genommen-wird\/7412\/\" target=\"_blank\" rel=\"noopener\">Ransomware<\/a> geht, sieht die Benutzererfahrung \u00fcblicherweise wie folgt aus: Sie \u00f6ffnen eine Webseite und laden aus Versehen eine Software herunter und installieren diese. Es kann sogar sein, dass Sie nichts von all dem mitbekommen. Eine Zeit lang passiert gar nichts und nach einer Weile erscheint eine Benachrichtigung, dass all Ihre Dateien von einem Trojaner verschl\u00fcsselt worden sind, der ein L\u00f6segeld einfordert, um sie wiederherzustellen. Sie \u00fcberpr\u00fcfen, ob das tats\u00e4chlich der Fall ist, und stellen fest: keine Ihrer Dateien l\u00e4sst sich \u00f6ffnen. Au\u00dferdem sehen Sie, dass diese nun mit der verd\u00e4chtigen <strong>Dateiendung .crypt<\/strong> versehen sind.<\/p>\n<p><strong><\/strong><\/p>\n<p>Wenn Sie sich in dieser misslichen Lage befinden sollten, dann sieht es ganz so aus, als ob Ihr Betriebssystem mit der Ransomware CryptXXX infiziert worden ist. Es handelt sich um einen besonders \u00fcblen Trojaner, der Dateien verschl\u00fcsselt <strong>und<\/strong> Ihre pers\u00f6nlichen Daten <strong>und<\/strong> Ihre Bitcoins stiehlt. Aber wir haben auch gute Neuigkeiten: es gibt ein kostenloses Tool, das Ihr System von der Infektion befreien kann.<\/p>\n<p><strong>Was ist CryptXXX?<\/strong><\/p>\n<p>Falls Sie ein Handbuch zur Dateientschl\u00fcsselung suchen, k\u00f6nnen Sie diesen Teil \u00fcberspringen \u2014 <em>scrollen Sie einfach im Artikel weiter nach unten, um die entsprechenden Informationen zu finden.<\/em> An dieser Stelle legen wir zun\u00e4chst einmal einige Fakten dar.<\/p>\n<p>Am 15. April <a href=\"https:\/\/www.proofpoint.com\/us\/threat-insight\/post\/cryptxxx-new-ransomware-actors-behind-reveton-dropping-angler\" target=\"_blank\" rel=\"noopener nofollow\">entdeckten<\/a> Experten von Proofpoint eine brandneue Ransomware, die das <a href=\"https:\/\/www.kaspersky.de\/blog\/exploits-problem-explanation\/5905\/\" target=\"_blank\" rel=\"noopener\">Exploit-Kit<\/a> Angler verwendet, um Windows-Devices zu infizieren. Da die Cyberkriminellen ihrer Kreation keinen Namen gegeben hatten, nannten die Experten sie CryptXXX. Vermutlich haben sie diesen Namen gew\u00e4hlt, weil der Trojaner die gemeine Angewohnheit hat, die Dateiendung .crypt zu den Namen aller infizierten Dateien hinzuzuf\u00fcgen, und XXX ist der Zweitname von Angler.<\/p>\n<p>CryptXXX ist ein interessantes Ransomware-Exemplar. Sie verschl\u00fcsselt Dateien auf allen angeschlossenen Datenspeichern, kurz nachdem der PC infiziert worden ist. Die Verz\u00f6gerung ist von den Kriminellen beabsichtigt, da sie so ihre Opfer verwirren und es schwieriger nachzuvollziehen ist, welche Webseite die Malware verbreitet.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">10 tips to protect your files from ransomware <a href=\"https:\/\/t.co\/o0IpUU9CHb\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/o0IpUU9CHb<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/iteducation?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#iteducation<\/a> <a href=\"https:\/\/t.co\/I47sPIiWFF\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/I47sPIiWFF<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/671348678607642624?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">November 30, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Nach der Verschl\u00fcsselung kreiert der Trojaner drei Anleitungen: eine Textdatei, eine Bilddatei und eine HTML-Webseite. Das Bild wird (vielleicht f\u00fcr mehr Klarheit) als Desktophintergrund eingestellt. Die Webseite wird in einem Browser ge\u00f6ffnet, und die Textdatei ist f\u00fcr alle F\u00e4lle auf der Festplatte abgespeichert. Alle Anleitungen enthalten einen \u00e4hnlichen Text.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>Wie man von der #Ransomware #CryptXXX verschl\u00fcsselte Dateien wiederherstellt<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2Fr7Dp&amp;text=Wie+man+von+der+%23Ransomware+%23CryptXXX+verschl%C3%BCsselte+Dateien+wiederherstellt\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>Sie informieren die Opfer, dass deren Dateien mithilfe des starken Verschl\u00fcsselungsalgorithmus RSA4096 verschl\u00fcsselt worden sind und fordern ein L\u00f6segeld in H\u00f6he von umgerechnet 450 EUR, die in Bitcoins zu zahlen sind, um die Daten wiederherzustellen. Der Nutzer muss sich den Tor-Browser installieren und dem Link in der Anleitung folgen, um eine .onion-Webseite zu \u00f6ffnen, die detaillierte Informationen sowie die Zahlungsmodalit\u00e4ten enth\u00e4lt. Es gibt sogar eine Seite mit h\u00e4ufig gestellten Fragen \u2014 alles, um es so benutzerfreundlich wie m\u00f6glich zu gestalten.<\/p>\n<p>CryptXXX ist au\u00dferdem \u00fcberaus gierig: die Ransomware verschl\u00fcsselt die Dateien nicht nur, sondern stiehlt au\u00dferdem Bitcoins, die auf den Festplatten der Opfer gespeichert waren und kopiert andere Daten, die den Cyberkriminellen n\u00fctzlich sein k\u00f6nnte.<\/p>\n<p><strong>Es ist furchtbar, aber wir haben ein Gegenmittel!<\/strong><\/p>\n<p>In aller Regel ist es \u00e4u\u00dferst schwierig, eine universelle Entschl\u00fcsselungsmethode f\u00fcr moderne Ransomware zu finden. Aus diesem Grund sehen sich Opfer h\u00e4ufig dazu gezwungen, das L\u00f6segeld zu zahlen. Wir raten Ihnen davon ab dies zu tun, es sei denn, es ist Ihre letzte M\u00f6glichkeit.<\/p>\n<p>Zum Gl\u00fcck ist CryptXXX nicht so schwierig zu knacken. Experten von Kaspersky Lab kreierten ein Tool, mit dessen Hilfe Nutzer verschl\u00fcsselte Daten wiederherstellen k\u00f6nnen.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"de\" dir=\"ltr\">Tipp: Wie man von der <a href=\"https:\/\/twitter.com\/hashtag\/Ransomware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Ransomware<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/CryptXXX?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#CryptXXX<\/a> verschl\u00fcsselte Dateien wiederherstellt: <a href=\"https:\/\/t.co\/EhRrbGPpo4\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/EhRrbGPpo4<\/a> <a href=\"https:\/\/t.co\/wW0J7Mo8bY\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/wW0J7Mo8bY<\/a><\/p>\n<p>\u2014 Kaspersky DACH (@Kaspersky_DACH) <a href=\"https:\/\/twitter.com\/Kaspersky_DACH\/status\/725222662474203137?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">April 27, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Der <a href=\"http:\/\/support.kaspersky.com\/de\/viruses\/disinfection\/8547?_ga=1.188378797.468992270.1457000469#block1\" target=\"_blank\" rel=\"noopener\">RannohDecryptor<\/a> war urspr\u00fcnglich dazu entwickelt worden, Dateien zu entschl\u00fcsseln, die von der Ransomware Rannoh infiziert worden waren. Gerade zur rechten Zeit enthielt das Tool einige n\u00fctzliche Zusatzfeatures. Jetzt kann es ebenfalls verwendet werden, um Ihre Dateien nach der Aktivit\u00e4t von CryptXXX wiederherzustellen.<\/p>\n<p>Falls die Ransomware CryptXXX sich also einen Weg in Ihr Betriebssystem gebahnt haben sollte, ist noch nicht alles verloren. Um Ihre Daten wiederherstellen zu k\u00f6nnen, ben\u00f6tigen wir eine unversehrte Back-up-Version (unverschl\u00fcsselt) von mindestens einer Datei, die von CryptXXX betroffen ist. Wenn Sie mehrere Dateien als Sicherheitskopie zur Verf\u00fcgung haben, funktioniert die Entschl\u00fcsselung allerdings besser.<\/p>\n<p><strong>F\u00fchren Sie bitte\u00a0folgenden Schritten aus:<\/strong><\/p>\n<p>1.\u00a0<a href=\"http:\/\/media.kaspersky.com\/utilities\/VirusUtilities\/RU\/rannohdecryptor.exe?_ga=1.181740263.154298264.1460978871\" target=\"_blank\" rel=\"noopener nofollow\">Das Tool herunterladen<\/a> und starten.<\/p>\n<p>2. Die Einstellungen \u00f6ffnen und die Laufwerkart (Wechsellaufwerk, Netzwerk oder Festplatte) zum Scannen ausw\u00e4hlen. W\u00e4hlen Sie nicht die Option \u201eVerschl\u00fcsselte Dateien nach Entschl\u00fcsselung l\u00f6schen\u201c aus, sofern Sie nicht 100-prozentig sicher sind, dass die entschl\u00fcsselten Dateien sich korrekt \u00f6ffnen lassen.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2016\/04\/06134030\/cryptxxx-screenshot-1.png\" width=\"489\" height=\"444\"><\/p>\n<p>\u00a0<\/p>\n<p>3. Klicken Sie auf den Link \u201eScan starten\u201c und w\u00e4hlen Sie die verschl\u00fcsselte .crypt-Datei aus (die, von der Sie au\u00dferdem eine unverschl\u00fcsselte Sicherheitskopie haben).<\/p>\n<p>4. Im n\u00e4chsten Schritt wird das Tool Sie nach der unversehrten Datei fragen.<\/p>\n<p>5. Danach beginnt RannohDecryptor damit, alle weiteren Dateien zu suchen, die ebenfalls die Dateiendung .crypt haben, und versucht alle Dateien zu entschl\u00fcsseln, die eine geringere Dateigr\u00f6\u00dfe haben als die unversehrte Datei. Je gr\u00f6\u00dfer die Datei ist, die Sie in das Dienstprogramm einspeisen, umso mehr Dateien werden entschl\u00fcsselt.<\/p>\n<p><strong>Wappnen Sie sich im Vorfeld gegen Infektionen!<\/strong><\/p>\n<p>Es ist besser, das Schicksal nicht herauszufordern und Ihren PC bereits im Vorfeld vor einer Infektion durch CryptXXX zu sch\u00fctzen. Unser Entschl\u00fcsselungsprogramm funktioniert zwar im Moment, aber schon bald k\u00f6nnten Kriminelle eine neue, raffiniertere Version der gleichen Ransomware in Umlauf bringen. Es kommt sehr h\u00e4ufig vor, dass Straft\u00e4ter den Code ihrer Malware \u00e4ndern, so dass es unm\u00f6glich ist, infizierte Dateien zu entschl\u00fcsseln. Das ist beispielsweise mit der Ransomware <a href=\"https:\/\/www.kaspersky.de\/blog\/teslacrypt-strikes-again\/6595\/\" target=\"_blank\" rel=\"noopener\">TeslaCrypt<\/a> passiert: es gab ein Dienstprogramm, das verschl\u00fcsselte Dateien erfolgreich wiederherstellen konnte, aber mittlerweile ist dieses Tool praktisch nutzlos.<\/p>\n<p>\u00a0<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/hashtag\/TeslaCrypt?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#TeslaCrypt<\/a>: Round Three \u2013 <a href=\"https:\/\/t.co\/LAPH359dZp\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/LAPH359dZp<\/a>  <a href=\"https:\/\/twitter.com\/hashtag\/ransomware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#ransomware<\/a> <a href=\"https:\/\/t.co\/6m1MdgfmSz\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/6m1MdgfmSz<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/676774484158881792?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">December 15, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Wir sollten au\u00dferdem nicht vergessen, dass CryptXXX pers\u00f6nliche Daten und Geld stiehlt \u2014 und es ist sicherlich keine gute Idee, diese mit Kriminellen zu teilen.<\/p>\n<p><strong>Befolgen Sie diese Regeln zur Cybersicherheit, um sich zu sch\u00fctzen:<\/strong><\/p>\n<p>1. Machen Sie regelm\u00e4\u00dfig Sicherheitskopien.<\/p>\n<p>2. Installieren Sie alle wichtigen Aktualisierungen f\u00fcr Ihr Betriebssystem und Ihre Browser. Das Exploit-Kit Angler, das von CryptXXX verwendet wird, nutzt Sicherheitsschwachstellen aus, um die Ransomware herunterzuladen und zu installieren.<\/p>\n<p>3. Installieren Sie eine geeignete Sicherheitsl\u00f6sung. <a href=\"https:\/\/kas.pr\/NP2F\" target=\"_blank\" rel=\"noopener\">Kaspersky Internet Security<\/a> bietet mehrschichtigen Schutz vor Ransomware. <a href=\"https:\/\/kas.pr\/NP2F\" target=\"_blank\" rel=\"noopener\">Kaspersky Total Security<\/a> erg\u00e4nzt den Rundumschutz mit regelm\u00e4\u00dfigen automatischen Back-ups.<\/p>\n<p>Weitere Informationen dazu, wie Sie sich vor Ransomware sch\u00fctzen k\u00f6nnen, finden Sie <a href=\"https:\/\/www.kaspersky.de\/blog\/ransomware-10-tips\/6502\/\" target=\"_blank\" rel=\"noopener\">hier<\/a>.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Update vom 13.05.2016<\/strong><\/p>\n<p>Das Kaspersky RannohDecryptor Tool wurde angepasst und entschl\u00fcsselt nun auch Dateien der aktuellen CryptoXXX-Version.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die Ransomware CryptXXX verschl\u00fcsselt Dateien, stiehlt Daten und Bitcoins. Das h\u00f6rt sich schlimm an, aber wir haben eine L\u00f6sung!<\/p>\n","protected":false},"author":696,"featured_media":7514,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,6],"tags":[756,2013,122,1650,535,2014,1653,257],"class_list":{"0":"post-7513","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-cryptolocker","10":"tag-cryptxxx","11":"tag-datenschutz","12":"tag-malware","13":"tag-ransomware","14":"tag-ransomware-entschlusselung","15":"tag-security","16":"tag-trojaner"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cryptxxx-ransomware\/7513\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/cryptxxx-ransomware\/7070\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/cryptxxx-ransomware\/7102\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cryptxxx-ransomware\/7028\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cryptxxx-ransomware\/8189\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cryptxxx-ransomware\/8066\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cryptxxx-ransomware\/11736\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/cryptxxx-ransomware\/2047\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cryptxxx-ransomware\/11939\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cryptxxx-ransomware\/5568\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/cryptxxx-ransomware\/6204\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/cryptxxx-ransomware\/11181\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/cryptxxx-ransomware\/11736\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/cryptxxx-ransomware\/11939\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/cryptxxx-ransomware\/11939\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/cryptolocker\/","name":"CryptoLocker"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/7513","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/696"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=7513"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/7513\/revisions"}],"predecessor-version":[{"id":21133,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/7513\/revisions\/21133"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/7514"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=7513"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=7513"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=7513"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}