News Kaspersky Lab: Verschlüsselungstrojaner CryptXXX ist geknackt

[Parwez]

Den Sicherheitsexpterten von Kaspersky Lab ist es gelungen, den Erpressungstrojaner CryptXXX zu knacken. Um Betroffenen zu helfen, stellen sie ein kostenloses Tool zur Entschlüsselung zur Verfügung. Die Krux: Zur Entschlüsselung wird in der Regel mindestens eine der verschlüsselten Dateien im Original benötigt.

Zur News: Kaspersky Lab: Verschlüsselungstrojaner CryptXXX ist geknackt

 

[>|Sh4d0w|<]

sehr geil, zwar bin ich nicht davon betroffen, aber immerhin gibts mal gute Neuigkeiten dazu

 

[AndrewPoison]

Na gut, die Einschränkung, zumindest EINE einzige Datei irgendwo noch im Original rumliegen zu haben, hätte ich jetzt nicht besonders gravierend angesehen. Irgend ein E-Mail-Attachment z.B., Kopien auf USB-Sticks, etc. pp. Aber... das man maximal bis zur Größe der entsprechenden Dateien entschlüsseln kann, ist natürlich ein Witz und macht das Ding fast unbrauchbar. Klar, besser als nichts, aber wirklich geknackt kann man das dann auch nicht nennen. "Angeknackst"

 

[mod666]

d.h ein 10 GB Dump File auf der Platte ablegen, doppeltes backup davon machen für den fall der fälle

 

[Visceroid]

@AndrewPoison: Wegen der Passage wollte ich auch gerade Fragen. Ergibt für mich auch keinen Sinn. Wenn der Key gefunden wurde und man eine Datei entschlüsseln kann, sollten dann doch auch alle anderen mit dem selben Key zum entschlüsseln sein? Was hat die Dateigröße damit zu tun?

 

[PUNK2018]

d.h ein 10 GB Dump File auf der Platte ablegen, doppeltes backup davon machen für den fall der fälle

Wäre keine DUMP Datei ;-)

Der Befehl erstellt eine "leer" datei beliebiger größe ;-)

fsutil file createnew <dateiname> <Dateigröße in byte>

 

[zittrig]

Entschlüsselung für TeslyCrypt mit Endung .XXX wäre mir lieber.

Zum Glück hatten wir im Februar auf Arbeit noch ein wochenaltes Backup vom Backup, da das eigentliche Backup auch infiziert war.

Konsequenz: tägliches an- und abstöpseln einer externen HDD für eine zusätzliche automatische Sicherung vom NAS.

Zudem wurde der Chefin bei Todesstrafe verboten, weiterhin jeden unbekannten Mailanhang zu öffnen .....

.... und ja, prof. Virenscanner ist vorhanden

 

[Sun_set_1]

@AndrewPoison: Wegen der Passage wollte ich auch gerade Fragen. Ergibt für mich auch keinen Sinn. Wenn der Key gefunden wurde und man eine Datei entschlüsseln kann, sollten dann doch auch alle anderen mit dem selben Key zum entschlüsseln sein? Was hat die Dateigröße damit zu tun?

Da hab ich auch gestutzt. Von den groben Mathe-Kentnissen her würde ich sagen das Kaspersky wahrscheinlich nur Teile des Algorithmus entschlüsselt bzw identifiziert, der den eigentlichen Verschlüsselungs-Key generiert. Wenn man dann eine Ausgangsdatei hat kann man wohl theoretisch immer den Key bis zur jeweiligen Länge reverse rechnen. Was aber danach kommt (nach der eigentlichen Datei-Größe) lässt sich nicht vorhersagen und somit auch nicht entschlüsselbar.

Generell hilft das Tool aber schon. Wenn man dies nun weiß, wird halt ein Full-HD Film extern gesichert und gut ist.

Problematisch ist aber, das die Virenentwickler die Methode jetzt auch kennen. Wenn man zu jeweiligen Dateien einfach noch wirr-warr Code vor dem verschlüsseln hinzufügt, dürfte die Methode schon wieder nicht funktionieren... Denn dann unterscheiden sich Quelldatei und Backup wieder voneinander.

 

[drago-museweni]

@zittrig ich glaube für Firmen sind solche Schadprogramme ganz schwer komplett zu verhindern wenn man da denkt was alles umhergeschickt wird da kann sich schnell mal was einschleichen, man ich ja auch nicht immer auf 100% Leistung.

Holzauge sei wachsam, hatte letztens eine fast echt aussehende Paypal Mail, nur die Adresszeile hatte eine andere Schriftart, was man fast nicht merkt, und natürlich der obligatorische Link der im original nicht vorkommt, Rechtschreibfehler gibts auch keine mehr.

 

[0815burner]

Wie werden eigentlich die privaten Daten vom Trojaner erkannt? verschlüsselt er den gängigen Dokumenten-Ordner in Windows oder sucht er die passenden Dateiendungen?
ich habe meine Daten gar nicht lokal gespeichert, sondern stecke sie über USB an, wenn ich sie denn gezielt brauche. Backup ist natürlich zusätzlich vorhanden (redundanter Stick (je nach Menge Wichtigkeit der neuen Daten durchgeführt) + alle 2 Quartale eine DVD)

 

[Ap2000]

Das unbedachte Öffnen von Mailanhängen aus verdächtigen Quellen und das Surfen auf dubiosen Seiten können sonst schnell zum Verhängnis werden.

"Dubiose Seiten" ist nett gesagt. Als das eine Werbenetzwerk vor ein paar Wochen damit infiziert war und dadurch indirekt zur Verbreitung beigetragen, trat das auf ganz normalen Seiten auf.
Deshalb, ohne NoScript nie surfen.

 

[Dimitri Kostrov]

"Dubiose Seiten" ist nett gesagt. Als das eine Werbenetzwerk vor ein paar Wochen damit infiziert war und dadurch indirekt zur Verbreitung beigetragen, trat das auf ganz normalen Seiten auf.
Deshalb, ohne NoScript nie surfen.

Surfen nur noch mit speziellen Addons a la NoScript, AdBlock, Ghostery, auf allen Seiten, Browser in der Sandbox, keine Ausnahmen! Alles andere ist grob fahrlässig und wie dein aufgeführtes Beispiel zeigt: alternativlos.
Und es war ja nicht das erste Werbenetzwerk, dass gekapert wurde, um Schadsoftware unbemerkt zu verteilen....

 

[M@rsupil@mi]

hatte letztens eine fast echt aussehende Paypal Mail, nur die Adresszeile hatte eine andere Schriftart, was man fast nicht merkt, und natürlich der obligatorische Link der im original nicht vorkommt, Rechtschreibfehler gibts auch keine mehr.

Und trotzdem ist die Erkennung ganz einfach: Die Mail kommt überraschend und man soll was machen (anklicken, öffnen, bestätigen, etc.).

das Surfen auf dubiosen Seiten

Ja, ja die "dubiosen Seiten".

Da bettelt etwa die New York Times bei den User den Werbeblocker zu deaktivieren und dann gibt es gratis einen Verschlüsselungstrojaner.

 

[zittrig]

@zittrig ich glaube für Firmen sind solche Schadprogramme ganz schwer komplett zu verhindern wenn man da denkt was alles umhergeschickt wird da kann sich schnell mal was einschleichen, man ich ja auch nicht immer auf 100% Leistung.

Holzauge sei wachsam, hatte letztens eine fast echt aussehende Paypal Mail, nur die Adresszeile hatte eine andere Schriftart, was man fast nicht merkt, und natürlich der obligatorische Link der im original nicht vorkommt, Rechtschreibfehler gibts auch keine mehr.

Manchmal braucht man neben der brain.exe einfach nur sein Bauchgefühl. Sollte dann doch mal eine echte und wichtige Mail im Papierkorb landen, meldet sich der Absender nochmal.

Wenn mir jedoch, auf den obigen Fall bezogen, jemand völlig unbekanntes eine Mail schickt, im Anhang ein "besprochener" Rentenplan für Mitarbeiter, dann ist es einfach der völlig falsche Weg, über das Öffnen des Anhangs meiner Erinnerung auf die Sprünge helfen zu wollen. In dem Fall hätte es gereicht auf die Mail zu antworten. Der Mailer Daemon hätte den Rest erledigt ...

 

[Issou]

Privat braucht man in der Regel nur den Adblock - der reicht schon aus. Emails wenn ueberhaupt nur uebers Handy zuerst aufmachen oder in einer virtuellen Umgebung mit Linux.

 

[Taigabaer]

Kleiner Tippfehler:

"Einschränkend gilt zudem, dass die berechneten Schlüssel nur kleineren oder gleich großen Dateien funktionieren."

Glaub, da fehlt ein "mit".

 

[updater14]

@zittrig ich glaube für Firmen sind solche Schadprogramme ganz schwer komplett zu verhindern

Naja gewisse Vorsichtsmaßnahmen kann man treffen...
- Exchangeintegration des AntiVirus
- AntiVirus mit Exploitschutz
- Spamfilterung des AntiVirus integriert im Exchange

Zudem eine wachsame IT, die entsprechende Dateianhänge pauschal unterbindet,
sofern diese von extern kommen und an ein zentrales Postfach umleitet.
Dieses wird von geschulten Augen mehrmals täglich begutachtet und die unschädlichen
Mails werden weitergegeben.

Das Problem jeder Sicherheitslösung ist das Umfeld, niemand wagt sich an die Infiltration
eines Serversystems, wenn im gleichen Netzwerk entsprechende Clients abhängen.
Aufzwingen von Patches, zeitnahes zur Verfügung stellen derer und ganz wichtig
--> Schulung der Mitarbeiter
denn diese sind das schwächste Glied der Kette.

Leider wird gerade letzteres als "Zeitverschwendung" angesehen, die Leute sollen ja arbeiten
und nicht in EDV-Belangen geschult werden. :Freak

Privat braucht man in der Regel nur den Adblock - der reicht schon aus. Emails wenn ueberhaupt nur uebers Handy zuerst aufmachen oder in einer virtuellen Umgebung mit Linux.

Man kann es auch übertreiben.
Ich habe im Bekanntenkreis bisher noch keinen einzigen Fall von Verschlüsselung gehabt.
Der gesunde Menschenverstand hilft einem generell, zudem sollte man einfach erst lesen,
dann denken, dann klicken.

 

[Christock]

Grundsätzlich ist das für die Betroffenen eine gute Nachricht, allerdings wirken die Einschränkungen bezüglich der benötigten Originaldatei und der fehlenden Entschlüsselung von Dateien, die größer sind, doch schwer. Die meisten werden wohl weiterhin hoffen müssen, dass es bald eine Entschlüsselungsmethode gibt, die allen weiterhilft.

Ansonsten kann man solche Meldungen nur dafür nutzen, allen möglicherweise unbedarfteren Nutzern unbedingte Wachsamkeit einzuschärfen.

 

[Unnu]

Ja, ja die "dubiosen Seiten".
Da bettelt etwa die New York Times bei den User den Werbeblocker zu deaktivieren und dann gibt es gratis einen Verschlüsselungstrojaner.

OK, etwas OT ein paar Gedanken zur Haftung:
Was mir da noch nicht so einleuchtet, ist, warum die User die Verlage dann nicht in Grund und Boden verklagen?
Und diese dann die "Werbenetzwerke". Vor allem in den Staaten wo praktisch wegen jedem Sch... . alle und alles verklagt wird.
Das ist doch ein ganz glatter (Achtung Buzz-Word) Cyberangriff, mit allem was dazu gehört.
Und Unwissenheit schützt vor Strafe nicht. Vielleicht kommt das ja noch.

Ich kann mir auf jeden Fall vorstellen, dass es da recht bald richtig fett Krachen wird, denn sowas ist ja ein gefundenes Fressen. Das Opfer wird auch noch aufgefordert / angefleht, doch die Schilde runter zu fahren, damit man ihm dann eine volle Breitseite verpassen kann.

Da würde mich auch mal die Meinung der CB-Redaktion zu interessieren:
Was tut ihr, um eure vernetzten Werbepartner zu überwachen?
Und was werdet / würdet ihr tun, falls es doch zum GAU kommt?

 

[KlaasKersting]

--> Schulung der Mitarbeiter
denn diese sind das schwächste Glied der Kette.

Leider wird gerade letzteres als "Zeitverschwendung" angesehen, die Leute sollen ja arbeiten
und nicht in EDV-Belangen geschult werden. :Freak

[...]

Der gesunde Menschenverstand hilft einem generell, zudem sollte man einfach erst lesen,
dann denken, dann klicken.

Leider begründest du selbst, wieso solche Schulungen sehr oft Zeitverschwendung sind.
Menschenverstand bzw. "ein Gefühl für sowas" kann man nicht kurzfristig antrainieren, das entwickelt sich mit der Zeit.

Bei solchen Schulungen gibt es mehrere Personengruppen:
- Die Gruppe, die sich zu Tode langweilt, weil es für sie Basiswissen ist.
- Die Gruppe, die total paranoid wird und in Zukunft für ALLES die Admins totnervt.
- Die Ein-Ohr-rein-das-andere-raus-Gruppe.

Die Zeit von Gruppe1 wird verschwendet, bei Gruppe3 ist es auch Zeitverschwendung und Gruppe2 setzt es zwar um, sorgt aber für Mehrarbeit.