Locky-Update: Erpressungs-Trojaner in falschen Provider-Mails

  • Allgemein

  • HotPi
  • 1420 Aufrufe 3 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Locky-Update: Erpressungs-Trojaner in falschen Provider-Mails

    Locky-Update: Erpressungs-Trojaner in falschen Provider-Mails

    Locky macht seit Anfang des Jahres Computernutzern das Leben schwer. Aktuelle Varianten des Erpressungs-Trojaners geben erhöhten Grund zur Vorsicht. Denn Experten der Sicherheits-Website bleepingcomputer.com haben eine neue Spam-Kampagne ausgemacht, die im Namen von Providern E-Mails mit der gefürchteten Ransomware verbreiten. Um das Vertrauen des Opfers zu gewinnen, geben die Cyberkriminellen neben Providerangaben auch einen plausiblen Grund, eine anhängende Datei (natürlich den Trojaner Locky) anzuklicken. Angeblich wurde entdeckt, dass der Rechner Spam verschickt. Der Inhalt jenes vermeintlichen Spams biete Aufschluss über die versendeten Inhalte.
    Unachtsame Nutzer lassen sich dadurch schnell in die Falle locken. Bisher gibt es zwar nur Mail-Beispiele aus dem englischsprachigen Raum, es ist jedoch davon auszugehen, dass die Kampagne auch auf Deutschland ausgeweitet wird. Schließlich hatte Locky Anfang des Jahres hierzulande eine hohe Trefferquote. Stündlich gab es Tausende Neuinfizierungen mit dem Erpressungs-Trojaner. Entsprechende E-Mails könnten dann im Namen von der Deutschen Telekom, Vodafone und Co. bei Ihnen im Postfach ankommen.
    Sollte dies eintreffen, dürfen Sie nicht nur auf Spam-Filter Ihres E-Mail-Providers und Antiviren-Programme mit Zugriff auf E-Mails vertrauen. Notfalls hilft ein Anruf bei Ihrem persönlichen Kundenberater, um sich über den Wahrheitsgehalt entsprechender Behauptungen aus einer solchen Spam-Mail mit Locky zu informieren. Anhängende Dateien in E-Mails sollten Sie keinesfalls unüberlegt anklicken. Schon gar nicht, wenn Sie den Absender nicht persönlich kennen.

    Unterdessen warnt CERT – das Computer Emergency Repsonse Team des Bundesamtes für Sicherheit in der Informationstechnik – vor weiteren Entwicklungen rund um Locky. Dateien, die mit dem Trojaner verschlüsselt werden, wiesen anfangs die Endung „.locky“ auf. Später folgte „.odin“. Nun werden Dateien unbrauchbar gemacht und mit der Endung „.aesir“ versehen. Das macht es ungleich schwerer, das richtige Entschlüsselungs-Tool auszuwählen – sofern denn eines kommt, das sich der Original-Version und Updates von Locky annimmt.

    Denn: Es gibt zwar Tools, die Dateien mit „.locky“-Endung entschlüsseln können. Dabei ist jedoch zu beachten, dass dann nicht wirklich Locky, sondern ein einfacher zu entfernender Trojaner-Abkömmling namens AutoLocky zum Einsatz kam.

    Übrigens: Der Trojaner verbreitet sich nicht nur per E-Mails. Locky kann auch Facebook-Nachrichten befallen. Mehr Details gibt es in der verlinkten Meldung.

    23.11.2016 von The-Khoa Nguyen

    Quelle: Locky-Update: Erpressungs-Trojaner in falschen Provider-Mails - PC Magazin


    Da unter Erpressungs-Trojaner Locky schlägt offenbar koordiniert zu keine Antwort möglich ist (??) als extra Thema. Kann gerne verschoben werden...

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von HotPi () aus folgendem Grund: Link im Text entfernt

  • Ransomware
    Locky: Erpressungs-Trojaner kommt als Lukitus-Variante zurück
    Locky tritt in der neuen Lukitus-Variante auf und verschlüsselt als klassische Ransomware die Daten des PCs. Zeit für Backups und Vorsichtsmaßnahmen.

    Die Ransomware Locky treibt schon länger ihr Unwesen und schlägt immer wieder zu. Erst kürzlich haben Sicherheitsforscher Locky-Angriffe mit dem Dateiformat ".diablo6" und ".lukitus" identifiziert. Diese Attacken laufen seit dem 9. August. Locky ist eine Ransomware, die im Februar 2016 zum ersten Mal auftrat.

    Üblicherweise verbreiten die Hacker Locky über Spam-Mails, an die "Microsoft Office"- oder Zip-Dateien angehängt sind. In diesen angehängten Dateien sind bösartige Skripte, die - wenn der Nutzer sie ausführt - Daten des Computers verschlüsseln. Von einer erneuten Ransomware-Bedrohung berichtet Malwarebytes im Blog.

    Unser Ratgeber "Ransomware: Das müssen Sie über Locky und Co. wissen" beschreibt, wie Locky vorgeht. Nachdem alle Dateien verschlüsselt sind, taucht aktuell laut Bleeping Computer eine Meldung mit der Aufforderung auf, 0,49 Bitcoin zu zahlen. Das sind aktuell umgerechnet etwa 1.800 Euro. Mit dabei ist eine Anleitung, wie das Verschlüsselungs-Opfer den Betrag über den anonymen Tor-Browser bezahlen soll.

    Bisher ist es immer noch keinem Sicherheitsforscher gelungen, den Verschlüsselungscode von Locky zu knacken. Wenn es kein Backup der Daten gibt, muss der Betroffene den Betrag an die Cyberkriminellen zahlen, sofern er den verschlüsselten Inhalt wieder sehen möchte. Eine Garantie für die Behebung und Entschlüsselung gibt es aber nicht. Am besten ist es natürlich es gar nicht erst soweit kommen zu lassen und bei E-Mail-Anhängen besonders vorsichtig zu sein.

    18.8.2017 von Alina Braun

    Quelle: Locky: Ransomware kommt als Lukitus-Variante zurück - PC Magazin
  • Ransomware per Spam-Mail
    Locky: Neue Variante missbraucht 7-Zip-Format
    Die Ransomware Locky treibt als Anhang in einer E-Mail wieder ihr Unwesen. So erkennen Sie aktuelle Locky-Angriffe und schützen sich vor Cyberkriminellen.

    Die Ransomware Locky treibt erneut ihr Unwesen, wie der Sicherheitsforscher Derek Knight entdeckte. Diesmal verbreitet sich der Erpressungs-Trojaner über Mails, mit Betreffzeilen wie "Status of Invoice". An die Mail ist eine Datei mit dem Schädling angehängt.

    Als Format benutzt Locky das von 7-Zip (*.7z). Das ist eine Open-Source-Komprimierungssoftware, die Wahl des Dateiformats ist ungewöhnlich. Denn Nutzer müssen die Open-Source Komprimierungssoftware 7-Zip erst herunterladen, da sie auf Systemen nicht standardmäßig installiert ist. Erst dann lässt sich der Dateianhang, in dem sich Locky verbirgt, öffnen.

    Wenn der Nutzer nun den Dateianhang aus der Mail auf den Rechner downloadet, lädt laut Bleeping Computer ein VBS-Skript im Archiv dann Locky herunter. Die Ransomware wird dann auf dem Rechner aktiv und verschlüsselt die Daten. An diese hängt Locky dann die Dateiendung "Ykcol" (Locky rückwärts) an. Wer seine Dokumente wieder sehen will, muss Lösegeld zahlen.

    Dazu senden die Hacker eine HTML-Anleitung für das genaue Vorgehen mit. Die Anwender sollen eine Webseite im Tor-Browser aufsuchen. Dort erhalten sie weitere Anweisungen, wie sie die 0,25 Bitcoin - umgerechnet etwa 820 Euro - Lösegeld überweisen sollen.

    Außerdem berichtet das Sicherheitsunternehmen Trend Micro von einer weiteren Locky-Masche in den USA, Deutschland und China. Die E-Mail ist als Rechnung getarnt und bietet im Link einen Download an. Nach einem Klick darauf lädt der ahnungslose Nutzer ein 7Z-Archiv mit Locky auf seinen Rechner. Bei dieser Methode verlangen die Hacker 0,7 Bitcoin (ca. 2.300 Euro) Lösegeld.

    Bislang konnte Locky noch von keinem Sicherheitsforscher geknackt werden. Ohne Backup der Daten bleibt Opfern der Cyberkriminellen nichts anderes übrig, als den geforderten Betrag in Bitcoin zu zahlen, wenn er den verschlüsselten Inhalt wieder haben möchte. Allerdings gibt es keine Garantie, dass die Daten auch tatsächlich entschlüsselt werden. Ideal ist es natürlich, bei E-Mail-Anhängen besonders vorsichtig zu sein, damit es gar nicht erst zur Infektion mit der Ransomware kommt.

    21.9.2017 von Alina Braun


    Quelle: Locky: Neue Variante missbraucht 7-Zip-Format - PC Magazin
  • Neue Locky-Variante: Vorsicht, die Ransomware kommt per Mailanhang
    Sicherheitsforscher des Virenscanner-Herstellers AVIRA warnen vor einer neuen Welle von Erpressungs-Versuchen mit einer Variante des Locky-Schadcodes. Verbreitet wird der neue Verschlüsselungs-Trojaner wie gehabt per Email-Anhang.

    Locky ist zurück
    Die Ransomware Locky machte Anfang vergangenes Jahr viele Schlagzeilen. Nutzer weltweit hatten sich die Schadsoftware eingefangen, die auf dem System des Opfers einzelne Dateien verschlüsselt und dann eine Bitcoin-Zahlung für die Wiederfreigabe der Daten erpresst. Es folgten
    einige Wellen an Abarten des Schadcodes, die wieder unter dem Radar der Virenscanner liefen, sich aber immer das gleiche Prinzip und die
    gleichen Sicherheitslücken zu Nutze machten. Doch nun meldet das deutsche Software-Unternehmen AVIRA, das Locky wieder zurück ist, dieses Mal unter dem Namen Asasin.

    Variante verbreitet sich wieder
    Die Sicherheitsforscher des Teams hätten in den vergangenen Tagen vermehrt eine neue Locky-Variante bemerkt, die sich wie ihr Urvater
    wurmartig selbst verbreitet und per Email-Anhang den Weg zu ihren Opfern findet. Die Ransomware nutzt dabei manipulierte Office-Dokumente. In den Word-Dateien verbergen sich dann Makros, die sich selbsttätig im Hintergrund den Trojaner aus dem Internet laden. Anschließend kann
    dieser sein böses Werk ausführen und Daten auf dem Zielsystem verschlüsseln. Dabei bekommen die Daten die neue Endung .asasin, der auch der neue Name der Locky-Variante ist.

    Immer neue Locky-Wellen: Wie sie aussehen, was zu tun ist

    Auch Libre Office betroffen
    Betroffen sind laut dem Bericht von AVIRA nicht nur Office-Dokumente von Microsoft, sondern auch von Libre Office. Zumeist werden sie durch
    Spam-Mails verbreitet, Asasin soll aber auch schon über Peer to Peer und unseriöse Downloadquellen im Huckepack gekommen sein.


    Für die Entschlüsselung wird ein Betrag von 0,3 Bitcoin gefordert. Erpressungstrojaner wie der Locky-Stamm tun viel dafür, dass sie nicht
    erkannt werden. Die meisten Virenscanner entdecken die Ransomware jedoch mittlerweile zuverlässig. Dafür ist es aber wichtig, dass man seine
    Sicherheitssoftware auf dem Laufenden hält und Aktualisierungen regelmäßig überprüft. Laut AVIRA wurden die neuen Varianten von Locky
    bereits für die Erkennung in die AVIRA-Software eingebunden, andere Hersteller sollten bereits ähnlich gehandelt haben.


    Quelle: news,100520.html