Mit dem kostenlosen Tools RannohDecryptor bekommen die Opfer des Erpressungstrojaners wieder Zugriff auf ihre Daten, ohne dafür auch noch Lösegeld zahlen zu müssen, erläutert Kaspersky.
Das Tool hat es schon früher mit der Ransomware Rannoh aufgenommen und soll durch neue Funktionen jetzt auch CryptXXX-Opfern helfen und die verschlüsselten Dateien mit dem Suffix .crypt wieder entschlüsseln.
Ablauf der Entschlüsselung
Der RannohDecryptor versucht, den Schlüssel für die Entschlüsselung automatisch zu berechnen. Wenn das nicht möglich ist, müssen die Opfer für das Tool eine unverschlüsselte Version von einer möglichst großen der betroffenen Dateien bereitstellen.
Danach soll das Tool alle verschlüsselten Dateien, die kleiner als das unverschlüsselte Muster sind, dechiffrieren können. Kaspersky stellt dazu auch eine ausführliche Anleitung bereit.
Der Erpressungstrojaner CryptXXX soll sich hauptsächlich über das Angler-Exploit-Kit verbreiten und auf Windows-PCs zielen. Die Verschlüsselung beginnt nach Angaben von Kaspersky aber erst einige Zeit nach der Infektion des Rechners, damit es den Opfern schwerer fällt, die Internetseite, die den Schädling verteilt, einzugrenzen.
CryptXXX verschlüsselt nicht nur Daten, sondern er kopiert auch für die Angreifer möglicherweise interessante Dateien und klaut zu allem Übel auch noch auf infizierten Computern liegende Bitcoins. Als Lösegeld für die (zweifelhafte) Entschlüsselung fordert CryptXXX einen Bitcoin entsprechend ca. 400€.