Neue Locky-Variante missbraucht 7-Zip-Format

Ransomware (Bild: Shutterstock)

Eine neue Variante der Erpresser-Software Locky fordert zwischen rund 900 Euro und 2200 Euro für die Entschlüsselung der Daten.

Eine neue Variante der Ransomware Locky verbreitet sich aktuell. Der Schädling verbreitet sich via Mail mit Betreffzeilen wie “Status of Invoice”. Der Schädling verbirgt sich im Anhang, der mit der Open-Source Komprimierungs-Software 7-Zip gepackt ist. Wie der Sicherheitsforscher Derek Knight, der Entdecker der neuen Variante erklärt, ist das relativ ungewöhnlich, denn auf den meisten Windows-Rechnern ist das Programm nicht installiert.

7-Zip (Grafik: 7-Zip)

Laut Bleeping Computer enthält das Archiv ein VBS-Skript, das den Schädling Locky herunterlädt herunterlädt und startet. Daraufhin wird der Computer durchsucht und die Dateien werden Verschlüsselt.

Neu ist auch die Dateiendung “Ykcol” (Locky rückwärts geschrieben), die die Ransomware an alle verschlüsselten Dateien anhängt. Auch die Dateinamen werden verändert. Sie bestehen anschließend aus einer eindeutigen ID, die Locky für jeden befallenen Computer erzeugt, sowie 16 zufällig generierten Hexadezimalzeichen.

Das Erpresserschreiben liegt in der neuen Version im HTML-Format vor und nicht mehr als Bitmap-Grafik. Die Opfer sollen wie bei den Vorgängern den Tor-Browser installieren und damit eine bestimmte Onion-Website aufrufen. Dort wiederum finden die Anwender eine Anleitung zur Zahlung des Lösegelds in Höhe von 0,25 Bitcoin, was derzeit rund 816 Euro entspricht.

Locky soll aber auch für eine Spamkampagne verwendet werden, die derzeit auf Nutzer in den USA, Deutschland und China zielt, wie Trend Micro berichtet. Auch hier soll eine angebliche Rechnung Nutzer zum Download der Erpressersoftware verleiten, allerdings ist die infizierte Datei nicht an die E-Mail angehängt – Nutzer müssen stattdessen auf einen Link klicken, um die Datei herunterzuladen. Wie bei der neuen Locky-Variante setzten die Cyberkriminellen aber auch hier auf das Archivformat 7Z.

Nicht nur das Dateiformat legt die Vermutung nahe, dass zwischen beiden Kampagnen ein Zusammenhang besteht. Die Erpresser leiten ihre Opfer in beiden Fällen auf dieselbe Onion-Adresse im Tor-Netzwerk. Allerdings fordern die Erpresser der von Trend Micro aufgedeckten Kampagne ein höheres Lösegeld von 0,7 Bitcoin oder 2290 Euro.

Webinar

Digitalisierung fängt mit Software Defined Networking an

In diesem Webinar am 18. Oktober werden Ihnen die unterschiedlichen Wege, ein Software Defined Network aufzubauen, aus strategischer Sicht erklärt sowie die Vorteile der einzelnen Wege aufgezeigt. Außerdem erfahren Sie, welche Aspekte es bei der Auswahl von Technologien und Partnern zu beachten gilt und wie sich auf Grundlage eines SDN eine Vielzahl von Initiativen zur Digitalisierung schnell umsetzen lässt.

Eine weitere Besonderheit ist, dass die Links in den von Trend Micro gefundenen Spam-E-Mails Nutzer nicht nur zu Locky führen, sondern im Wechsel auch zur einer Ransomware namens FakeGlobe. Nutzer, die in einem gewissen zeitlichen Abstand mehrfach auf den Link klicken, können ihre Systeme unter Umständen also mit einer zweiten Erpressersoftware infizieren.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.