Kaspersky dechiffriert Ransomware von TeamXRat

TeamXRatEs vergeht mittlerweile fast kein Tag, an dem wir keine Meldungen über neue Ransomware-Funde bzw. Angriffe erhalten, denen bereits tausende Anwender zum Opfer gefallen sind.

Nicht nur Endanwender, sondern auch Behörden, Firmen und Unternehmen haben damit zu kämpfen, dass die Kriminellen per Erpressungs-Trojaner ein Ultimatum setzen und somit die Opfer enorm unter Druck setzen. Denn bei Nichtbezahlung des  Lösegeldes droht den Nutzern die Veröffentlichung der persönlichen Daten des Opfers im Internet oder die unwiederbringliche Verlust der eigenen Daten. Fälle einer Veröffentlichung von Daten unabhängig von der Ramsomware-Variante, sind uns bisher nicht bekannt, jedoch der Verlust der Daten.

Zum Glück arbeiten Sicherheits-Experten mit großen Einsatz daran, die diversen Ransomware-Derivate zu analysieren und schnellstmöglich ein entsprechendes Entschlüsselungs-Tool der Öffentlichkeit zu Verfügung zu stellen.

Was machen jedoch die Experten, wenn Ransomware verheerende Schäden anrichtet, jedoch keine Spuren von  Malware zu finden sind?!

Gestern hat Kaspersky wieder eine großartige Analyse zur  Ransomware TeamXrat veröffentlicht. Außerdem gelang es dem Unternehmen, für die Ransomware “Trojan-Ransom.Win32.Xpan” ein entsprechendes Enschlüsselungs-Tool bereitzustellen, welches für die Wiederherstellung der Dateien sorgt.

bildschirmfoto-2016-09-30-um-10-30-59

Bild: bleepingcomputer.com – Die Ransomware ändert das Desktop-Hintergrund

Den Experten von Bleepingcomputer sind diese Infektion der Ransomware “Trojan-Ransom.Win32.Xpan” bereits Mitte September im eigenem Forum aufgefallen. Dabei ist Ihnen, wie  vielen anderen Security-Forschern, nie das eigentliche Sample in die Hände gefallen. Es stellte sich inzwischen heraus, dass sich die Ransomware “Xpan” über RDP-Dienste auf die Systeme der Opfer verteilt, installiert und sich nach erfolgreicher Kompromittierung des Systems ohne Rückstände zu hinterlassen, selbstständig entfernt.

Laut den Experten von Kaspersky wurde die Ransomware mit Namen “Xpan” von einer brasilianischen Gruppe mit Namen TeamXrat oder CorporacaoXRat entwickelt. Diese sind in Vergangenheit schon über Angriffe mit diversen Banking-Trojanern in Erscheinung getreten. Offentsichlich erweitern die Kriminellen Ihren Fokus und versuchen nun über die Ransomware “Trojan-Ransom.Win32.Xpan” gezielt Firmen, Unternehmen sowie Behörden und Krankenhäuser anzugreifen. Dabei setzt die Gruppe gezielt auf den Remote Desktop Services der Servern und Computern, um anschliessend über Brute-Force-Attacken die Passwörter der Nutzer zu knacken. So erhalten Sie laufenden Zugriff auf das System. Dies ermöglicht es, die Ransomware manuell auf den Systemen auszuführen, welche die Daten der Opfer verschlüsseln.

Je nach Version der Ransomware erhalten die verschlüsselten Daten die Erweiterung ___xratteamLucked oder ____xratteamLucked.  Anschliessend erscheint ein Erpresserbrief mit diversen Zahlungsinformationen in portugiesischer Sprache. Darin wird von den Kriminellen für die Freigabe der Daten ein Lösegeld von 1 Bitcoin (ca. 550 Euro) verlangt.

Erpresserbrief der Kriminellen:

bildschirmfoto-2016-09-30-um-10-57-45

Bild: bleepingcomputer.com – Erpresserbrief

Kommen Sie der Zahlung eines Lösegeldes niemals nach! Angst und Einschüchterung ist die Motivation der Kriminellen: Wir von Botfrei schließen uns der Meinung des BSI, dem BKA und Polizeibehörden an und raten dringend davon ab, Lösegeld an die Cyberkriminellen zu bezahlen.

Eine Wiederherstellung der verschlüsselten Daten ist möglich – Rettendes Tool von Kaspersky:

Die Experten von Kaspersky konnten nun die Verschlüsselung der Ransomware “Xpan” erfolgreich knacken. Die jenigen Nutzer, deren Daten mit  ___xratteamLucked (3 Unterstrichen) oder ____xratteamLucked (4 Unterstrichen) erweitert bzw. verschlüsselt wurden, können sich an den Support von Kaspersky wenden. Bislang ist noch nicht bekannt, ob Kaspersky das Entschlüsselungs-Tool öffentlich zugänglich macht, wie es in Vergangenheit immer der Fall war.

Können Sie Ihre verschlüsselten Dateien nicht einordnen, lesen sie hier>>

Brauchen Sie dazu Hilfe? Das Botfrei-Team bietet ein kostenfreies Forum an. Experten helfen „Schritt für Schritt“ bei der Lösung, Entfernung und nachhaltigen Absicherung des Computers.

Darauf sollten Sie im Forum achten: Damit die Experten auf Sie aufmerksam werden und helfend unterstützen können, sollten Sie sich im Forum anmelden und einen Beitrag erstellen in dem Sie Ihr Problem schildern. Nur dann kann individuell geholfen und die Infektion entfernt werden!

Bild: bleepingcomputer.com;