Eine altbekannte Ransomware zeigt sich wieder auf dem Parkett.
Crypt0l0cker ist wieder unterwegs. Ist aber komplett neu gekleidet. Virenscanner erkennen noch nicht alle das es sich hier um eine Ransomware handelt.
VirusTotal zeigt 41 von 61 Scanner erkennen die .exe als Gefährlich.
Crypt0l0cker lässt sich nicht lumpen. Nach dem Abspeichern des Trojaners in AppData Roaming wir fröhlich angefangen das Benutzerprofil zu verschlüsseln. Auch Netzlaufwerke werden verschlüsselt. Nur bei Schattenkopien hört Crypt0l0cker auf. Das ist auch die schnellste Variante, die verschlüsselten Daten wieder herzustellen. Freude dem der Schattenkopien aktiviert hat. Wer keine Schattenkopien aktiv hat, sieht sich dem Resotre aus dem Backup gegenüber. Schwierig ist dies vor allem da Crypt0l0cker nicht alle Dateien verschlüsselt. Das einzelne zurückholen von Daten aus dem Backup ist eine langwierige Prozedur die sich jedoch lohnt.
Folgende Dateiendungen werden nicht verschlüsselt:
exe,dll,sys,vdx,vxd,com,msi,scr,cpl,bat,cmd,lnk,url,log,log2,tmp,ini,chm,manifest,inf,html,
txt,bmp,ttf,png,ico,gif,mp3,wav,avi,theme,evtx,folder,kdmp
Hier noch ein Link zu TALOS
Sie haben eine komplette Analyse des neuen Crypt0l0ckers durchgeführt.
Auch diese Ransomware zeigt wie wichtig es ist ein gutes funktionierendes Backup zu haben. Im Moment gibt es kein Tool dass die Dateien wieder entschlüsseln kann.