Ransomware: Avira warnt vor neuer Locky-Variante mit Offline-Modus

Sie kann auch ohne Befehle eines Command-and-Control-Servers Dateien auf einem befallenen Rechner verschlüsseln. Allerdings weist sie auch eine Schwäche auf: Theoretisch lässt sich eine private Entschlüsselungs-ID auch von anderen Nutzern mit demselben Public Key verwenden.

Das Avira Virus Lab hat eine neue Variante der Ransomware Locky entdeckt, die über einen Offline-Modus verfügt. Sie kann in diesem auch ohne Befehle eines Command-and-Control-Servers (C&C-Server) Dateien auf einem befallenen Rechner verschlüsseln, um anschließend Lösegeld für die erneute Freigabe der Daten zu erpressen.

Die von Avira entdeckte neue Locky-Variante verfügt über einen Offline-Modus (Bild: Avira).Bisher konnten Systemadministratoren die Verbindungen zu allen CnC-Servern blockieren und damit verhindern, dass Locky Dateien chiffriert, wie Moritz Kroll, Malware-Spezialist bei Avira, in einem Blogbeitrag erklärt. Die neue Variante schalte jedoch automatisch in den Offline-Modus um, wenn sie keine Verbindung zu einem CnC-Server aufbauen kann. Damit verringerten sich die Chancen für betroffene Nutzer, die Verschlüsselung von Dateien auf ihrem Rechner zu verhindern.

Nachdem Locky sich auf dem System eingenistet hat, bleibt nicht viel Zeit. Von der Infektion bis zur Verschlüsselung von Dateien im Offline-Modus dauert es Avira zufolge 1 bis 2 Minuten. Zunächst versucht die Malware in mehreren Schritten, einen C&C-Server zu erreichen. Schlagen alle Versuche fehl, schaltet sie in den Offline-Verschlüsselungsmodus.

„Auch wenn Locky weiterhin Versuche unternimmt, Verbindungen aufzubauen, und diese beobachtet werden können, wird es die Dateien verschlüsseln, wenn sie fehlschlagen“, erklärt Kroll. „Wenn ein Administrator also solche Verbindungen feststellt, bleibt ihm nur sehr wenig Zeit, den Computer herunterzufahren, bevor Daten beschädigt werden.“

ANZEIGE

SAS Viya: Analytics dort hinbringen, wo sie gebraucht wird

Die digitale Transformation ist heute Realität. Und krempelt Unternehmen und ganze Branchen um, die sich komplett neue Geschäftsmodelle überlegen müssen. Bei Analytics, der Kerntechnologie der digitalen Transformation, ist deshalb maximale Flexibilität gefragt. Und höchstes Tempo. Starre Architekturen stehen der Innovation immer öfter im Weg. Mit SAS Viya geht SAS einen neuen Weg: Analytics flexibel, zugänglich und offen in der Cloud.

Die neue Variante der Ransomware hat aber auch eine mögliche Schwäche: Wenn ein Erpressungsopfer Lösegeld für eine private Entschlüsselungs-ID aus dem Offline-Modus gezahlt hat, könnte diese auch von anderen Nutzern mit demselben Public Key verwendet werden, um Daten wiederherzustellen.

Im Offline-Modus kann die Malware die ID eines Opfers nicht direkt beim Server registrieren und somit einen einmaligen Public Key erhalten, wie es sonst üblich ist. In diesen Fällen verwendet es einen öffentlichen Schlüssel, der Teil der Konfiguration ist, und generiert eine einmalige Opfer-ID für die Bezahlseite. Der Public Key gilt dann für alle „Offline-Opfer“, deren Rechner von Locky-Versionen mit derselben Konfiguration infiziert wurden. Er besitzt auch selbst eine ID, wahrscheinlich damit der Server zwischen öffentlichen Schlüsseln verschiedener Locky-Konfigurationen unterscheiden kann. Anhand der Oper-ID wird überprüft, ob das Lösegeld bereits bezahlt wurde.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Neueste Kommentare 

Noch keine Kommentare zu Ransomware: Avira warnt vor neuer Locky-Variante mit Offline-Modus

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *