Locky: Erpressungstrojaner nimmt neue Wege

24. Februar 2016, 14:16
51 Postings

Verbreitung nun auch als E-Mail-Anhang – Einmal geöffnet werden lokale Dateien verschlüsselt

Ransomware wächst sich zu einem immer größeren Problem aus. Seit mehr als einer Woche wütet der Erpressungstrojaner Lock durch Deutschland. Zu Spitzenzeiten soll sie dabei mehr als 5.000 Rechner pro Stunde befallen haben. Nun da die erste Welle etwas abgeflaut ist, sucht sich Locky offenbar neue Verbreitungswege, wie heise.de berichtet.

Javascript

War die Ransomware bisher vor allem in Office-Makros versteckt, findet sie seit einigen Tagen auch über E-Mail-Anhänge ihre Verbreitung. Als Absender fungiert üblicherweise eine Ludwigsluster Fleisch- und Wurstspezialitäten Gmbh. Im Anhang findet sich dann eine ZIP-Datei, in der angeblich eine Rechnung enthalten ist. In Wirklichkeit handelt es sich dabei um ein Stück Javascript, das bei Ausführung den Trojaner auf den Rechner lädt und ausführt.

Verschlüsselung

Sind die Nutzer darauf hereingefallen, kann die Schadsoftware ungehindert ihr Unwesen treiben. Sie macht sich also daran lokale Dokumente, Bilder oder auch Projektdateien zu verschlüsseln und die Originale zu löschen. Für die Preisgabe des Keys verlangen die Erpresser dann 0,5 Bitcoins, was derzeit rund 190 Euro entspricht.

Vorsicht walten lassen

Die einzige wirklich wirksame Abhilfe gegen solche Angriffe ist die Achtsamkeit der Nutzer. Da der Trojaner keine Sicherheitslücken nutzt, kann auch kein Hersteller ein Update dagegen ausliefern. Derzeit konzentriert sich Locky ganz auf Windows-Systeme, theoretisch wäre so eine Software aber auch relativ einfach für Linux oder OS X umzusetzen.

Backup machen

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt regelmäßige Backups der eigenen Dateien, um den Schaden bei einem Befall möglichst gering zu halten. Ein Virenscanner könne ebenfalls nicht schaden, allerdings ist es für Angreifer leicht, hier schnell eine neue Version zu entwickeln, die der Scanner zunächst nicht erkennt.

Falsche Adresse

Anmerkungen am Rande: Den Fleischwarenanbieter gibt es übrigens wirklich. Mit der Verbreitung dieser Mails hat er aber natürlich nichts zu tun – dafür aber derzeit einigen Aufwand erboste Anrufer abzuwehren, die sich hier an der richtigen Stelle wähnen, um ihren Erpressern mal so richtig die Meinung zu sagen. (red, 24.2.2016)

  • Bei Wurst hört sich der Spass auf!
    screenshot: standard

    Bei Wurst hört sich der Spass auf!

Share if you care.