Locky: Erpressungstrojaner arbeitet jetzt ohne Internetverbindung

16. September 2016, 10:38
8 Postings

Neueste Version funktioniert jetzt vollständig autonom – Kein Command & Control-Server mehr nötig

Die Ransomware Locky macht einen weiteren Evolutionsschritt, wie die Sicherheitsforscher von Avira aufgespürt haben. Die neueste Version des Erpressungstrojaners beherbergt nun eine Art Autopilot, sie funktioniert also vollständig autonom.

Server als Schwachstelle

Damit beseitigen die unbekannten Entwickler eines der größten Defizite ihrer Schadsoftware: Die Abhängigkeit von einem Command & Control Server. Dieser kümmerte sich bisher darum, die Verschlüsselung der lokalen Daten anzustoßen. Dies bedeutete allerdings auch, dass bei einem nicht (mehr) mit dem Netz verbundenen Rechner Locky nie aktiv wurde.

Für die Erpresser hat dieser Ansatz zudem den Vorteil, dass sie einen weiteren Angriffspunkt für die Strafverfolgungsbehörden entfernen. Immerhin ersparen sie sich so den Betrieb einer eigenen Serverinfrastruktur, die auf die eine oder andere Weise ein Spur zu den Urhebern hinterlässt.

Schlüssel

Mit dieser Änderung geht auch eine Änderung bei der Erstellung der Verschlüsselung-Keys einher: Für Offline-User wird nun ein allgemeiner Schlüssel genutzt, der mit einer speziellen ID angereichert wird. Bei bisherigen Varianten wird hingegen ein vollständig individueller Key erstellt, der auf den C&C-Servern gespeichert wird.

Der Bezahlvorgang bleibt der gleiche, die Opfer müssen via Bitcoin ihren Rechner "freikaufen", wenn sie an die Daten herankommen wollen. Experten raten von solch einem Schritt jedoch eindringlich ab, stattdessen sollten die User lieber auf regelmäßige Backups setzen, die getrennt vom Computer aufbewahrt werden.

Avira betont, dass der neue Ansatz allerdings auch für die Erpresser diverse Nachteile hat. So verlieren sie ohne Command & Control-Server ihre Statistiken über erfolgreiche Infektionen. (red, 16.9.2016)

  • Artikelbild
    grafik: avira
Share if you care.