Opfer der Ransomware CryptXXX sollten sich umgehend auf der Bezahl-Webseite einloggen: Unter Umständen taucht dort ohne zu Bezahlen der Schlüssel zum Dechiffrieren der eigenen Daten auf.

Wer sich den Verschlüsselungs-Trojaner CryptXXX eingefangen hat, kann seine Daten gegebenenfalls befreien, ohne das Lösegeld zu zahlen. Die Ransomware-Experten von Bleepingcomputer.com haben beobachtet, dass das Entschlüsselungs-Tool UltraDeCrypter inklusive dem benötigten Schlüssel unter gewissen Voraussetzungen umgehend nach dem Einloggen auf der Bezahl-Webseite zum Abruf auftaucht.

Dabei handele es sich aber nicht um den Master-Schlüssel, sondern um individuell für Opfer des Krypto-Trojaners erzeugte Schlüssel. Die Werkzeuge zum Retten der eigenen Daten sollen aber ausschließlich bei Betroffenen auftauchen, die sich eine bestimmte CryptXXX-Variante eingefangen haben. Diese versieht verschlüsselte Dateien mit der Namenserweiterung .crypz und .cryp1.

Unachtsame Malware-Entwickler?

Warum der Schlüssel in diesen Fällen gratis auftaucht, ist unklar. Lawrence Abrams von Bleepingcomputer.com vermutet, dass es sich dabei um eine Fehlfunktion auf den Servern der Drahtzieher hinter CryptXXX handelt. Abrams beobachtet den Werdegang des Erpressungs-Trojaner eigenen Angaben zufolge schon länger. In der Vergangenheit seien ihm bereits Fehler im Code des Schädlings aufgefallen.

Im April dieses Jahres führte ein Bug dazu, dass Entwickler von Kaspersky ein kostenloses Entschlüsselungs-Tool entwickeln konnten. Seit dem treibt Kaspersky mit den Kriminellen ein Katz- und Maus-Spiel: Dabei optimieren die CryptXXX-Entwickler ihre Malware, doch Kaspersky entdeckt immer wieder Schwächen im Code, an denen ihr Tool abermals ansetzen kann.

Quelle: http://heise.de/-3269190