Entschlüsselungstool funktioniert nicht mehr
Dem kürzlich entdeckten Verschlüsselungs-Trojaner DXXD konnten Opfer dank eines kostenlosen Entschlüsselungstools glimpflich entkommen, ohne auch nur einen Cent Lösegeld zu zahlen. Doch damit ist nun Schluss wie heise.de unter Berufung auf die Ransomware-Experten von Bleepingcomputer.com berichtete.
Opfer haben die Möglichkeit sich im Forum von Bleepingcomputer zu registrieren. Wie es heißt, schaut sich der Sicherheitsforscher Michael Gillespie aktuelle Samples an und sucht erneut nach Schwächen bei der Umsetzung der Verschlüsselung, an denen sein Tool ansetzen kann. Dazu sind Informationen von Betroffenen wichtig, um die Chance für eine kostenlose Dechiffrierung zu erhöhen. Das Forum gibt gegebenenfalls auch Auskunft über die eventuelle Verfügbarkeit eines neuen Tools.
Autoren verspotten Sicherheitsforscher
Wie verlautet soll sich im Forum für Betroffene auch ein Malwareentwickler angemeldet haben und dort flapsig erklärt haben, dass er zur Server Infektion einen Zero-Day-Exploit einsetzt, über den er Zugang zu allen Windows-Versionen bekommt.
Die Sicherheitsforscher halten das für fragwürdig, sie gehen vielmehr davon aus, dass der vermeintliche Entwickler Windows-Server über den Remote Desktop Service attackiert und anschließend versucht, Passwörter über Brute-Force-Angriffe herauszufinden.
DXXD versieht verschlüsselte Dateien mit der Namenserweiterung .dxxd. Die Erpresser-Botschaft taucht auf einem infizierten Server bereits beim Log-in-Prozess auf. Bisher lag die Botschaft im Fall von anderen Erpressungs-Trojanern in Form von Text-Dateien auf betroffenen Computern verstreut. Damit die Botschaft beim Log-in-Prozess auftaucht, haben die DXXD-Entwickler einen Eintrag in der Registry von Windows angelegt.
