(firmenpresse) - Proofpoint hat kürzlich in einem neuen Blog-Eintrag die Entdeckung von CryptXXX 2.0 bekannt gemacht. Die neue Ransomware macht die erst im April veröffentlichten Entschlüsselungs-Tools für den ursprünglichen CryptXXX bereits unwirksam. CryptXXX 2.0 verschlüsselt Computer-Bildschirme und macht infizierte Rechner sofort unbrauchbar.
Die wichtigsten Fakten sind:
•Kaspersky hatte bezüglich der Ransomware CryptXXX ein Entschlüsselungs-Tool veröffentlicht, mit dem infizierte Benutzer die durch die Ransomware verschlüsselten Dateien wiederherstellen konnten. Allerdings ist die neueste Version des CryptXXX, die erst kürzlich auftauchte, gegen das Tool resistent und verhindert sämtliche Entschlüsselungen.
•Am 28. April stellte Proofpoint eine interessante Verhaltensänderung in CryptXXX Version 2.0 fest. Die neue Version kopierte die legitime rundll32.exe Datei in einen temporären Ordner und benannte diese in svchost.exe um. Diese umbenannte rundll32 rief dann den ursprünglichen CryptXXX-Prozess mit einer anderen Entry-Funktion, MS111, auf. Allerdings ergab sich die größte Änderung mit der Version 2.006. Die Ransomware sperrt den kompletten Bildschirm und macht die infizierten Computer unbrauchbar.
•Es wurde noch nicht bestätigt, dass eine Zahlung über eine „persönliche Homepage“ angeboten wird, um den Bildschirm zu entsperren. Proofpoint nimmt an, dass, basierend auf der Reveton „Police locker“ Bedrohung, (es wurde zuvor erwähnt, dass die Akteure, die verantwortlich für CryptXXX waren, auch zu Reveton gehören), dies ebenfalls ein Feature der Ransomware ist. Es wird vermutet, dass der Computer regelmäßig mit dem C&C Kontakt aufnimmt, um die erwartete Zahlung zu überprüfen.
•Proofpoint nahm zuerst an, dass die neue Display-Sperre ein weiterer krimineller Versuch ist, dass Opfer daran zu hindern, das Kaspersky Entschlüsselungs-Tool zu verwenden. Bei näherer Betrachtung fand Proofpoint allerdings heraus, dass die Akteure eine Methode entdeckt haben, die neueste Version des Entschlüsselungswerkzeugs zu umgehen.
Der vollständige Blog-Beitrag ist hier einsehbar: https://www.proofpoint.com/us/threat-insight/post/cryptxxx2-ransomware-authors-strike-back-against-free-decryption-tool
Proofpoint, Inc. (NASDAQ: PFPT) ist ein führender Sicherheits- und Compliance-Anbieter, der cloud-basierte Lösungen für einen umfangreichen Schutz vor Bedrohungen und Incident Response vertreibt und damit sichere Kommunikation, Social-Media- und Mobil-Sicherheit sowie Compliance, Archiv¬verwaltung und Governance gewährleistet. Unternehmen in aller Welt verlassen sich auf Proofpoints Erfahrung, patentierte Technologien und On-Demand-Bereitstellungs-Systeme. Proofpoint schützt vor Phishing, Malware und Spam und unterstützt Datensicherheit, Verschlüsselung sensibler Daten sowie Archivierung und Verwaltung von Nachrichten und wichtigen Unternehmensdaten.
Weitere Informationen unter http://www.proofpoint.com/de
Gerne können wir einen direkten Kontakt zu Proofpoint herstellen, um weitere Fragen zu beantworten.
Sie haben Fragen oder benötigen weitere Informationen? Gerne stellen wir Ihnen auch Blogbeiträge, Fachartikel oder aktuelle Studien von Proofpoint zum Thema IT-Sicherheit zur Verfügung.
Presseagentur Profil Marketing
Martin Farjah
Humboldtstraße 21
38106 Braunschweig
Tel.: +49(0)531 – 38733 -22
Mail: m.farjah(at)profil-marketing.com