Schwerpunkte

Verschlüsselungstrojaner kehrt zurück

Ransomware Locky greift in neuer Version an

28. Juni 2016, 10:32 Uhr   |  Lars Bube

Ransomware Locky greift in neuer Version an

Nachdem es einige Wochen lang verdächtig ruhig um den Verschlüsselungstrojaner Locky geworden war, greift die fiese Malware jetzt mit neuem Gesicht und besseren Verschleierungstaktiken wieder auf breiter Front an.

Vor fast einem Monat war der Verschlüsselungstrojaner Locky fast genauso plötzlich wieder aus dem ITK-Alltag verschwunden, wie er im Februar aufgetaucht war. Während Antivirenexperten rätselten, ob es den Hintermännern zu gefährlich geworden war, oder sie schlichtweg genügend Geld mit der erpresserischen Malware eingesammelt haben, ist jetzt klar, dass die Pause einen völlig anderen Zweck hatte: den inzwischen von den meisten Antivirenprogrammen erkannten Trojaner für die nächste Angriffswelle aufzurüsten. Seit dieser Woche werden über das Botnetz »Necurs« wieder Hunderttausende Emails mit einer neuen Variante von Locky verschickt. Neben den altbekannten Rechnungen versteckt sich die überarbeitete Locky-Version dabei auch in neuen vorgegebenen Anliegen wie vermeintlichen Bewerbungsschreiben.

Im Februar und März hatte Locky insbesondere in Deutschland zugeschlagen und zeitweise für bis zu 5.000 Infektionen pro Stunde gesorgt. Security-Anbieter wie Proofpoint gehen bei der zweiten Locky-Welle, die erst an ihrem Anfang stehen dürfte, sogar von einem noch höheren Gefährdungspotenzial aus. Denn die per Javascript agierende Ransomware wurde so verändert, dass sie von den bisherigen Antivirensignaturen nicht mehr erkannt wird. Durch gezieltes Verschleiern des Codes (Obfuskation) tarnt sich der Code des neuen Locky während der Ausführung aktiv und macht es Antivirensoftware und Sicherheitsverantwortlichen damit wesentlich schwerer, ihn rechtzeitig zu erkennen und stoppen. Zudem kann Locky jetzt auch schlecht gesicherte Sandboxen und virtuelle Umgebungen umgehen. Eine ausführliche technische Beschreibung und Analyse der neuen Malwarefunktionen und ihrer Arbeitsweise hat Proofpoint auf dieser (englischsprachigen) Webseite veröffentlicht.

Nachdem bislang noch keine Möglichkeit besteht, die von Locky verschlüsselten Dateien wieder zu entschlüsseln, ist höchste Vorsicht geboten. Verdächtige Emails sollten auf keinen Fall geöffnet und die Datenbestände regelmäßig per Backup auf externen Geräten oder Datenträgern gesichert werden. Da Locky auch Netzwerklaufwerke kompromittieren kann, können sie im Falle einer Infektion nur so sicher wiederhergestellt werden.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

Proofpoint

IT-Security

Computerkriminalität