Ransomware: Avira warnt vor neuer Locky-Variante mit Offline-Modus

Sie kann auch ohne Befehle eines Command-and-Control-Servers Dateien auf einem befallenen Rechner verschlüsseln. Allerdings weist sie auch eine Schwäche auf: Theoretisch lässt sich eine private Entschlüsselungs-ID auch von anderen Nutzern mit demselben Public Key verwenden.

Das Avira Virus Lab hat eine neue Variante der Ransomware Locky entdeckt, die über einen Offline-Modus verfügt. Sie kann in diesem auch ohne Befehle eines Command-and-Control-Servers (C&C-Server) Dateien auf einem befallenen Rechner verschlüsseln, um anschließend Lösegeld für die erneute Freigabe der Daten zu erpressen.

Die von Avira entdeckte neue Locky-Variante verfügt über einen Offline-Modus (Bild: Avira).Bisher konnten Systemadministratoren die Verbindungen zu allen CnC-Servern blockieren und damit verhindern, dass Locky Dateien chiffriert, wie Moritz Kroll, Malware-Spezialist bei Avira, in einem Blogbeitrag erklärt. Die neue Variante schalte jedoch automatisch in den Offline-Modus um, wenn sie keine Verbindung zu einem CnC-Server aufbauen kann. Damit verringerten sich die Chancen für betroffene Nutzer, die Verschlüsselung von Dateien auf ihrem Rechner zu verhindern.

Nachdem Locky sich auf dem System eingenistet hat, bleibt nicht viel Zeit. Von der Infektion bis zur Verschlüsselung von Dateien im Offline-Modus dauert es Avira zufolge 1 bis 2 Minuten. Zunächst versucht die Malware in mehreren Schritten, einen C&C-Server zu erreichen. Schlagen alle Versuche fehl, schaltet sie in den Offline-Verschlüsselungsmodus.

„Auch wenn Locky weiterhin Versuche unternimmt, Verbindungen aufzubauen, und diese beobachtet werden können, wird es die Dateien verschlüsseln, wenn sie fehlschlagen“, erklärt Kroll. „Wenn ein Administrator also solche Verbindungen feststellt, bleibt ihm nur sehr wenig Zeit, den Computer herunterzufahren, bevor Daten beschädigt werden.“

ANZEIGE

Open Telekom Cloud: Ressourcen auf Abruf

Von Capex zu Opex: Mit IT-Kapazitäten aus der Cloud statt von eigenen Servern verwandeln Unternehmen gerade verstärkt starre Investitionskosten in dynamische Ausgaben, die sich dem Geschäftsverlauf anpassen – und werden damit flexibler. Immer beliebter: Infrastructure-as-a-Service (IaaS) aus der Open Telekom Cloud.

Die neue Variante der Ransomware hat aber auch eine mögliche Schwäche: Wenn ein Erpressungsopfer Lösegeld für eine private Entschlüsselungs-ID aus dem Offline-Modus gezahlt hat, könnte diese auch von anderen Nutzern mit demselben Public Key verwendet werden, um Daten wiederherzustellen.

Im Offline-Modus kann die Malware die ID eines Opfers nicht direkt beim Server registrieren und somit einen einmaligen Public Key erhalten, wie es sonst üblich ist. In diesen Fällen verwendet es einen öffentlichen Schlüssel, der Teil der Konfiguration ist, und generiert eine einmalige Opfer-ID für die Bezahlseite. Der Public Key gilt dann für alle „Offline-Opfer“, deren Rechner von Locky-Versionen mit derselben Konfiguration infiziert wurden. Er besitzt auch selbst eine ID, wahrscheinlich damit der Server zwischen öffentlichen Schlüsseln verschiedener Locky-Konfigurationen unterscheiden kann. Anhand der Oper-ID wird überprüft, ob das Lösegeld bereits bezahlt wurde.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Avira, HPE / Intel Just Right IT, Malware, Security

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Björn Greif
Autor: Björn Greif
Redakteur ZDNet.de
Björn Greif
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen: