Ein neuer Erpressungstrojaner hat sich offenbar höchst erfolgreich in Deutschland etabliert. Die Ransomware namens "Locky" hat sich zuvor schon in internationalen Gefilden einen Namen gemacht und soll laut dem Sicherheitsforscher Kevin Beaumont in Deutschland gut 5.000 Neuinfektionen pro Stunde verursachen.

Der Schädling geht ähnlich vor wie andere Artgenossen. Er verschlüsselt Daten auf dem Rechner des Nutzers und versucht auch, über lokale Netzwerk erreichbare Geräte zu befallen. User werden anschließend aufgefordert, Websites im Tor-Netzwerk aufzurufen und Geld zu überweisen. Im Gegenzug sollen sie ein Werkzeug erhalten, mit dem sie ihre Inhalte wieder entschlüsseln können.

Prominentes Opfer

Mit dem Fraunhofer-Institut in Bayreuth hat Locky auch schon ein prominentes Opfer gefunden. Die Infektion, die auf dem PC eines Mitarbeiters begonnen haben dürfte, soll sich auf rund 60 Rechner ausgebreitet haben.

Entschlüsselungstool funktioniert

Immerhin: Das zum Zwangskauf angebotene Entschlüsselungstool, das mittlerweile auch einen deutschsprachigen Erpressungstext liefert, soll laut Heise tatsächlich funktionieren. Es lässt sich allerdings nicht auf jedem Rechner anwenden, sondern nur für das System des individuellen Users, der beim Zahlungsvorgang auch eine von der Erpressersoftware generierte ID angeben muss.

Verbreitung findet Locky klassisch per E-Mail über infizierte Anhänge. Üblicherweise handelt es sich dabei um angeblich zu begleichende Rechnungen. Das angehängte Dokument infiziert den Rechner über Makros. Auch Sicherheitslecks in Browsern sollen ausgenutzt werden, um Locky über manipulierte Websites auf die Systeme der Nutzer zu schleusen. (gpi, 19.2.2016)