Locky-Update: Erpressungs-Trojaner in falschen Provider-Mails

  • Allgemein
  • Locky-Update: Erpressungs-Trojaner in falschen Provider-Mails

    Locky-Update: Erpressungs-Trojaner in falschen Provider-Mails

    Locky macht seit Anfang des Jahres Computernutzern das Leben schwer. Aktuelle Varianten des Erpressungs-Trojaners geben erhöhten Grund zur Vorsicht. Denn Experten der Sicherheits-Website bleepingcomputer.com haben eine neue Spam-Kampagne ausgemacht, die im Namen von Providern E-Mails mit der gefürchteten Ransomware verbreiten. Um das Vertrauen des Opfers zu gewinnen, geben die Cyberkriminellen neben Providerangaben auch einen plausiblen Grund, eine anhängende Datei (natürlich den Trojaner Locky) anzuklicken. Angeblich wurde entdeckt, dass der Rechner Spam verschickt. Der Inhalt jenes vermeintlichen Spams biete Aufschluss über die versendeten Inhalte.
    Unachtsame Nutzer lassen sich dadurch schnell in die Falle locken. Bisher gibt es zwar nur Mail-Beispiele aus dem englischsprachigen Raum, es ist jedoch davon auszugehen, dass die Kampagne auch auf Deutschland ausgeweitet wird. Schließlich hatte Locky Anfang des Jahres hierzulande eine hohe Trefferquote. Stündlich gab es Tausende Neuinfizierungen mit dem Erpressungs-Trojaner. Entsprechende E-Mails könnten dann im Namen von der Deutschen Telekom, Vodafone und Co. bei Ihnen im Postfach ankommen.
    Sollte dies eintreffen, dürfen Sie nicht nur auf Spam-Filter Ihres E-Mail-Providers und Antiviren-Programme mit Zugriff auf E-Mails vertrauen. Notfalls hilft ein Anruf bei Ihrem persönlichen Kundenberater, um sich über den Wahrheitsgehalt entsprechender Behauptungen aus einer solchen Spam-Mail mit Locky zu informieren. Anhängende Dateien in E-Mails sollten Sie keinesfalls unüberlegt anklicken. Schon gar nicht, wenn Sie den Absender nicht persönlich kennen.

    Unterdessen warnt CERT – das Computer Emergency Repsonse Team des Bundesamtes für Sicherheit in der Informationstechnik – vor weiteren Entwicklungen rund um Locky. Dateien, die mit dem Trojaner verschlüsselt werden, wiesen anfangs die Endung „.locky“ auf. Später folgte „.odin“. Nun werden Dateien unbrauchbar gemacht und mit der Endung „.aesir“ versehen. Das macht es ungleich schwerer, das richtige Entschlüsselungs-Tool auszuwählen – sofern denn eines kommt, das sich der Original-Version und Updates von Locky annimmt.

    Denn: Es gibt zwar Tools, die Dateien mit „.locky“-Endung entschlüsseln können. Dabei ist jedoch zu beachten, dass dann nicht wirklich Locky, sondern ein einfacher zu entfernender Trojaner-Abkömmling namens AutoLocky zum Einsatz kam.

    Übrigens: Der Trojaner verbreitet sich nicht nur per E-Mails. Locky kann auch Facebook-Nachrichten befallen. Mehr Details gibt es in der verlinkten Meldung.

    23.11.2016 von The-Khoa Nguyen

    Quelle: Locky-Update: Erpressungs-Trojaner in falschen Provider-Mails - PC Magazin


    Da unter Erpressungs-Trojaner Locky schlägt offenbar koordiniert zu keine Antwort möglich ist (??) als extra Thema. Kann gerne verschoben werden...

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von HotPi () aus folgendem Grund: Link im Text entfernt

  • Ransomware
    Locky: Erpressungs-Trojaner kommt als Lukitus-Variante zurück
    Locky tritt in der neuen Lukitus-Variante auf und verschlüsselt als klassische Ransomware die Daten des PCs. Zeit für Backups und Vorsichtsmaßnahmen.

    Die Ransomware Locky treibt schon länger ihr Unwesen und schlägt immer wieder zu. Erst kürzlich haben Sicherheitsforscher Locky-Angriffe mit dem Dateiformat ".diablo6" und ".lukitus" identifiziert. Diese Attacken laufen seit dem 9. August. Locky ist eine Ransomware, die im Februar 2016 zum ersten Mal auftrat.

    Üblicherweise verbreiten die Hacker Locky über Spam-Mails, an die "Microsoft Office"- oder Zip-Dateien angehängt sind. In diesen angehängten Dateien sind bösartige Skripte, die - wenn der Nutzer sie ausführt - Daten des Computers verschlüsseln. Von einer erneuten Ransomware-Bedrohung berichtet Malwarebytes im Blog.

    Unser Ratgeber "Ransomware: Das müssen Sie über Locky und Co. wissen" beschreibt, wie Locky vorgeht. Nachdem alle Dateien verschlüsselt sind, taucht aktuell laut Bleeping Computer eine Meldung mit der Aufforderung auf, 0,49 Bitcoin zu zahlen. Das sind aktuell umgerechnet etwa 1.800 Euro. Mit dabei ist eine Anleitung, wie das Verschlüsselungs-Opfer den Betrag über den anonymen Tor-Browser bezahlen soll.

    Bisher ist es immer noch keinem Sicherheitsforscher gelungen, den Verschlüsselungscode von Locky zu knacken. Wenn es kein Backup der Daten gibt, muss der Betroffene den Betrag an die Cyberkriminellen zahlen, sofern er den verschlüsselten Inhalt wieder sehen möchte. Eine Garantie für die Behebung und Entschlüsselung gibt es aber nicht. Am besten ist es natürlich es gar nicht erst soweit kommen zu lassen und bei E-Mail-Anhängen besonders vorsichtig zu sein.

    18.8.2017 von Alina Braun

    Quelle: Locky: Ransomware kommt als Lukitus-Variante zurück - PC Magazin
  • Ransomware per Spam-Mail
    Locky: Neue Variante missbraucht 7-Zip-Format
    Die Ransomware Locky treibt als Anhang in einer E-Mail wieder ihr Unwesen. So erkennen Sie aktuelle Locky-Angriffe und schützen sich vor Cyberkriminellen.

    Die Ransomware Locky treibt erneut ihr Unwesen, wie der Sicherheitsforscher Derek Knight entdeckte. Diesmal verbreitet sich der Erpressungs-Trojaner über Mails, mit Betreffzeilen wie "Status of Invoice". An die Mail ist eine Datei mit dem Schädling angehängt.

    Als Format benutzt Locky das von 7-Zip (*.7z). Das ist eine Open-Source-Komprimierungssoftware, die Wahl des Dateiformats ist ungewöhnlich. Denn Nutzer müssen die Open-Source Komprimierungssoftware 7-Zip erst herunterladen, da sie auf Systemen nicht standardmäßig installiert ist. Erst dann lässt sich der Dateianhang, in dem sich Locky verbirgt, öffnen.

    Wenn der Nutzer nun den Dateianhang aus der Mail auf den Rechner downloadet, lädt laut Bleeping Computer ein VBS-Skript im Archiv dann Locky herunter. Die Ransomware wird dann auf dem Rechner aktiv und verschlüsselt die Daten. An diese hängt Locky dann die Dateiendung "Ykcol" (Locky rückwärts) an. Wer seine Dokumente wieder sehen will, muss Lösegeld zahlen.

    Dazu senden die Hacker eine HTML-Anleitung für das genaue Vorgehen mit. Die Anwender sollen eine Webseite im Tor-Browser aufsuchen. Dort erhalten sie weitere Anweisungen, wie sie die 0,25 Bitcoin - umgerechnet etwa 820 Euro - Lösegeld überweisen sollen.

    Außerdem berichtet das Sicherheitsunternehmen Trend Micro von einer weiteren Locky-Masche in den USA, Deutschland und China. Die E-Mail ist als Rechnung getarnt und bietet im Link einen Download an. Nach einem Klick darauf lädt der ahnungslose Nutzer ein 7Z-Archiv mit Locky auf seinen Rechner. Bei dieser Methode verlangen die Hacker 0,7 Bitcoin (ca. 2.300 Euro) Lösegeld.

    Bislang konnte Locky noch von keinem Sicherheitsforscher geknackt werden. Ohne Backup der Daten bleibt Opfern der Cyberkriminellen nichts anderes übrig, als den geforderten Betrag in Bitcoin zu zahlen, wenn er den verschlüsselten Inhalt wieder haben möchte. Allerdings gibt es keine Garantie, dass die Daten auch tatsächlich entschlüsselt werden. Ideal ist es natürlich, bei E-Mail-Anhängen besonders vorsichtig zu sein, damit es gar nicht erst zur Infektion mit der Ransomware kommt.

    21.9.2017 von Alina Braun


    Quelle: Locky: Neue Variante missbraucht 7-Zip-Format - PC Magazin