Nicht zahlen: Gratis-Tool rettet verschlüsselte Daten des Trojaners CryptXXX!

Wenn der PC mit einem Erpresser-Trojaner der Familie CryptXXX infiziert ist, kann man aufatmen: Statt das geforderte Lösegeld zu zahlen, hilft jetzt ein Gratis-Tool,um die Daten zu retten: Antivirus-Hersteller Kaspersky hat ein Programm veröffentlicht, das verschlüsselte Daten der Ransomware CryptXXX entschlüsseln soll!

Wer sich den Erpresser-Trojaner CryptXXX eingefangen hat, musste bislang um seine Daten bangen und ein Lösegeld zahlen: Kurz nach der Infektion des PCs verschlüsselt der Erpresser-Trojaner, ähnlich wie der bekanntere Locky-Virus, die Dateien auf dem PC. Um sie wieder freizuschalten und den Computer weiter nutzen zu können, soll man den Programmierern ein Lösegeld zahlen.

Ganz so stark wie behauptet scheint die Verschlüsselung aber nicht zu sein: Statt dem angegebenen, angeblich verwendeten RSA-4096-Algorythmuss haben die Angreifer eine deutlich weniger sichere Verschlüssungs-Routine eingebaut. Die Entwickler der Antivirus-Firma Kaspersky haben daher in nur wenigen Wochen eine Möglichkeit gefunden, die Verschlüsselung zu umgehen und sämtliche Dateien des PCs zu retten: Das dafür nötige Programm bieten sie auf ihrer Webseite gratis zum Download an. Der „RannohDecryptor“ hilft aber nicht nur gegen den Erpresser-Trojaner CryptXXX, sondern auch gegen alle auf einem ähnlichen Code aufbauenden Viren der Gattungen Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl und eben Trojan-Ransom.Win32.CryptXXX.

Download: Kaspersky Entschlüsselungstool

Das Entschlüsselungstool versucht zunächst, den Schlüssel zum Wiederherstellen der Dateien automatisch aus den Dateien selbst zu berechnen und die Dateien zu retten. Klappt das nicht, kann man den Schlüssel mit einer Backup-Datei berechnen. Das einzige Problem dabei: Um die Daten entschlüsseln und retten zu können, braucht man eine exakte Kopie einer Datei auf dem PC, die noch nicht infiziert und verschlüsselt ist. Hat man also ein Backup einiger Daten (zum Beispiel auf einem USB-Stick, einer CD (sicherer, weil nicht beschreibbar: Der Trojaner kann die Datei hier nicht auch infizieren!) oder auf einem Cloud-Speicher im Internet, kann das Tool aus der verschlüsselten Datei und der nicht verschlüsselten Kopie den Schlüssel berechnen: Damit lassen sich dann alle weiteren Dateien auf dem PC retten und wiederherstellen.

Sind die Dateien anschließend trotzdem noch verschlüsselt, hat Kaspersky noch zwei weitere Programme, die man zum Entschlüsseln der Dateien ausprobieren kann: XoristDecryptor und RectorDecryptor werden auf der gleichen Webseite zum Download angeboten und entschlüsseln die Dateien, die von anderen, ähnlichen Trojaner-Programmen.

Die Erpresser-Trojaner werden hauptsächlich per Email verbreitet: Über infizierte Dateien als Anhang, die sich als normale Word- oder PDF Datei tarnen (Tipp: Mit dieser Windows-Einstellung erkennt man getarnte Viren leichter!) oder Links zu Webseiten, die im Hintergrund die Malware installieren, kommen die Trojaner auf den Rechner. CryptXXX verschlüsselt dabei aber nicht nur die Dateien, sondern versucht im Hintergrund auch, gespeicherte Zugangsdaten und Passwörter abzugreifen.