Als onderdeel van de voortdurende inzet van Kaspersky Lab om gebruikers te beschermen tegen de nieuwste ransomware, heeft Fedor Sinitsyn, Senior Malware Analyst bij het bedrijf, een decryptie-tool ontwikkeld om slachtoffers van CryptXXX gecodeerde bestanden te helpen herstellen. De bijzonder kwaadaardige CryptXXX ransomware richt zich op Windows-apparaten in een poging bestanden te vergrendelen, gegevens te kopiëren en Bitcoins te stelen.
De CryptXXX ransomware wordt verspreid onder internetgebruikers via spam e-mails die geïnfecteerde bijlagen of links naar kwaadaardige websites bevatten. Deze webpagina’s, die een Angler Exploit Kit (EK) hosten, distribueren CryptXXX. Bij uitvoering ervan versleutelt de ransomware bestanden op het geïnfecteerde systeem en voegt het een .crypt extensie toe aan de bestandsnaam. Slachtoffers worden geïnformeerd dat hun bestanden zijn versleuteld met behulp van RSA-4096 – een krachtiger encryptie-algoritme – en vervolgens wordt een losgeld in Bitcoins gevraagd als slachtoffers hun gegevens weer vrijgegeven willen hebben.
Met momenteel meer dan 50 rondzwervende ransomware-families is er geen enkel universeel algoritme om de dreiging of de impact van de aanvallen tegen te gaan. In het geval van CryptXXX blijken de claims van de criminelen over RSA-4096 echter slechts grootspraak te zijn, en was Kaspersky Lab in staat om een decryptie-tool te ontwikkelen die nu beschikbaar is via de Kaspersky Lab support website.
Vanwege het werk van de Kaspersky Lab-expert kunnen slachtoffers er zeker van zijn dat het, mocht de CryptXXX ransomware zijn weg hebben gevonden naar hun systemen, nog steeds mogelijk is om bestanden te herstellen zonder het losgeld te betalen. Om de betreffende bestanden te decoderen, heeft het hupprogramma van Kaspersky Lab de oorspronkelijke (niet versleutelde) versie nodig van ten minste één bestand dat is aangevallen door CryptXXX.
Gebruikers van Kaspersky Lab-oplossingen worden verder beschermd doordat de door de CryptXXX ransomware gebruikte Angler exploit kit in de vroege stadia van infectie wordt gedetecteerd door de Automatic Exploit Prevention-technologie van de Kaspersky Lab-oplossingen. Kaspersky Lab-producten detecteren deze exploit kit onder: HEUR:Exploit.SWF.Agent.gen, PDM:Exploit.Win32.Generic, HEUR:Exploit.Script.Generic.
Om je te beschermen tegen infectie, moeten gebruikers het volgende doen:
1. Regelmatig een back-up maken.
2. Alle essentiële updates installeren voor besturingssysteem en browsers. De Angler exploit kit, die wordt gebruikt door CryptXXX, maakt misbruik van kwetsbaarheden in software om de ransomware te downloaden en te installeren.
3. Een beveiligingsoplossing installeren. Kaspersky Internet Security biedt een meerlaagse bescherming tegen ransomware. Kaspersky Total Security kan een aanvulling zijn op de all-round bescherming, door automatische back-ups te verschaffen.
Nadere informatie over CryptXXX is te vinden op Kaspersky Daily.