(firmenpresse) - Die Experten von Proofpoint fanden kürzlich eine bislang nicht dokumentierte Erpressungssoftware, die sich seit Ende März durch Bedep verbreitete, nachdem sie vom Angler Exploit Kit (EK) infiziert wurde. Als "CryptXXX" tituliert, verlangt diese neue Erpressungssoftware momentan eine relativ hohe Ablösesumme von 500 US-Dollar, um verschlüsselte Dateien wieder zu entsperren. Sollte das Opfer nicht sofort reagieren, wird die Summe erhöht. Allerdings verschlüsselt CryptXXX nicht nur lokale Dateien, sondern stiehlt auch Bitcoins sowie persönliche Daten vom infizierten Rechner.
Angler ist derzeit das Nummer-Eins Exploit Kit gemessen am Volumen und macht damit die möglichen Auswirkungen der neuen Erpressungssoftware in den Händen von erfahrenen Angreifern mit Zugriff auf diesen Vektor umso signifikanter.
Das Unternehmen Proofpoint untersuchte die komplette Ransomware in einer ĂĽberwachten Umgebung und fand folgende wichtige Punkte heraus:
- Die Ransomware wird als DLL ĂĽber den Bedep-Virus versandt
- Der Start dieser DLL wird willkürlich verzögert, sodass dass Anwender nicht in der Lage ist, die Verknüpfung der DLL mit dem Infektionsvektor (z.B. eine kompromittierte Website) zu verhindern
- Die Ransomware besitzt Anti-VM- und Anti-Analysefunktionen
- Proofpoint ist sich sicher, dass es eine Verbindung zwischen CryptXXX und dem Reveton-Team gibt
Reveton ist bekannt für die Verbreitung von großangelegten Malware-Angriffen und die hohe Zahl an Übersetzungen der Zahlungswebseiten. Mit CryptXXX werden diese Angriffe erwartungsgemäß erhöht und verstärkt.
Die vollständigen Ergebnisse, Bilder der Zahlungswebseiten, Ransom-Meldungen und Beispiele hinsichtlich des Datenraubs, hat Proofpoint in seinem Blog ab sofort veröffentlicht:
https://www.proofpoint.com/de/cryptxxx-neue-erpressungssoftware-der-reveton-akteure-wird-durch-angler-exploit-kit-verteilt
Presseagentur Profil Marketing
Martin Farjah
HumboldtstraĂźe 21
38106 Braunschweig
Tel.: +49(0)531 – 38733 -22
Mail: m.farjah(at)profil-marketing.com