Antivirenhersteller Kaspersky hat den Verschlüsselungstrojaner CryptXXX geknackt.

Mit seinem kostenlosen Tools RannohDecryptor können die Opfer des Erpressungstrojaners jetzt wieder Zugriff auf ihre Daten bekommen, ohne dafür Lösegeld zahlen zu müssen.

Das Werkzeug hat es schon früher mit der Ransomware Rannoh aufgenommen und soll jetzt  durch neue Funktionen auch CryptXXX-Opfern helfen und die verschlüsselten Dateien mit dem Suffix .crypt wieder entschlüsseln.

Hier soll kurz erklärt werden, wie man seine verschlüsselten Dateien wieder entschlüsselt bekommen kann.

So funktioniert es

Damit das kostenlose Tool RannohDecryptor so viele Dateien wie möglich entschlüsselt, müssen Opfer das Werkzug mit einer unverschlüsselten Version einer betroffenen Datei füttern.Damit das kostenlose Tool RannohDecryptor so viele Dateien wie eben möglich wieder entschlüsselt, müssen die Opfer dazu eine unverschlüsselte Version einer dieser Dateien bereitstellen.

Der RannohDecryptor versucht, den Schlüssel für die Entschlüsselung automatisch zu berechnen. Wenner das nicht schafft, müssen die Opfer für das Tool eine unverschlüsselte Version von einer möglichst großen der betroffenen Dateien bereitstellen.

Danach soll das Tool laut Kaspersky alle verschlüsselten Dateien, die kleiner als das unverschlüsselte Muster sind, dechiffrieren können. Kaspersky stellt dazu auch eine ausführliche Anleitung bereit.

CryptXXX soll sich hauptsächlich über das Angler-Exploit-Kit verbreiten und speziell auf Windows-PCs zielen. Die Verschlüsselung startet nach Angaben von Kaspersky aber erst einige Zeit nach der Infektion des PCs, damit es den Opfern schwerer fällt, die Webseite, die den Schädling verteilt hat, herauszufinden.

CryptXXX verschlüsselt allerdings nicht nur Daten, sondern kopiert auch für die Angreifer möglicherweise interessante Dateien und klaut zu allem Übel sogar noch auf den infizierten Computern liegende Bitcoins. Als Lösegeld für die (zweifelhafte) Entschlüsselung verlangt CryptXXX einen Bitcoin, also ca. 400€.