Neue Variante der Locky-Ransomware fordert fast 1500 Dollar Lösegeld

von Stefan Beiersmann am , 13:40 Uhr

Sie verbreitet sich über Spam-E-Mails. Die recht einfach gehalten Nachrichten verweisen lediglich auf eine angehängte Word-Datei. Tatsächlich enthält die E-Mail jedoch ein ausführbares VBS-Skript, das ein System mit der neuen Locky-Variante infiziert.

Der Sicherheitsforscher Racco42 [1] warnt vor einer neuen Variante der Ransomware Locky. Sie wird mittels Spam-E-Mails verbreitet, an die eine ZIP-Datei angehängt ist. Die Diablo6 genannte Variante fordert ein Lösegeld von 0,49 Bitcoin. Nach derzeitigem Wechselkurs entspricht das rund 1460 Euro.

Ransomware (Bild: Kaspersky) [2]Wie Bleeping Computer [3] berichtet, sind die Spam-E-Mails recht einfach gestaltet. Sie enthalten lediglich den Nachrichtentext „Dateien angehängt. Danke“ und eine Betreffzeile, die auf eine Word-Datei verweist. Deren Dateiname besteht aus dem Buchstaben „E“, einem aktuellen Datum und einer zufällig generierten Zahlenfolge.

Im angehängten ZIP-Archiv befindet sich jedoch kein Word-Dokument, sondern ein VBS-Script mit demselben Dateinamen, das die eigentliche Schadsoftware herunterlädt. Das Skript speichert nach dem Download die Ransomware im Temp-Folder und führt sie aus.

Die neue Locky-Variante scannt den Computer nach Dateien und verschlüsselt sie. Die verschlüsselten Dateien werden zudem umbenannt und die Dateiendung auf „.diablo6“ geändert. Wurden alle Dateien verschlüsselt, löscht Locky seine heruntergeladene, ausführbare Komponente und blendet die Lösegeldforderung ein. Deren Dateiname nutzt ebenfalls den Begriff „diablo6“.

HIGHLIGHT

Studie: Ransomware-Angriffe für KMU besonders gefährlich [4]

Kleine und mittlere Unternehmen leiden vor allem unter den Ausfallzeiten. Das geforderte Lösegeld spielt eine geringere Rolle und wird auch meistens nicht gezahlt. 34 Prozent der deutschen KMU wurden innerhalb eines Jahres Opfer von Ransomware.

„Alle ihre Dateien wurden mit RSA-2048 und AES-128 verschlüsselt“, heißt es dort. „Die Entschlüsselung Ihrer Dateien ist nur mit dem privaten Schlüssel und einem Entschlüsselungsprogramm möglich, das sich auf unserem geheimen Server befindet.“ Zudem enthält die Forderung einen Link zu einer Onion-Site im TOR-Netzwerk und die eindeutige ID des verschlüsselten Systems.

Derzeit sei es nicht möglich, von der neuen Diablo6-Variante verschlüsselte Dateien kostenfrei zu entschlüsseln, heißt es weiter in dem Bericht. Unklar sei auch, ob es sich nur um einen kurzzeitigen Anstieg der Locky-Aktivitäten handle oder ob die Hintermänner versuchten, die Verbreitung ihrer Erpressersoftware auszuweiten.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen? [5]

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de. [6]

Artikel von ZDNet.de: http://www.zdnet.de

URL zum Artikel: http://www.zdnet.de/88307757/neue-variante-der-locky-ransomware-fordert-fast-1500-dollar-loesegeld/

URLs in this post:

[1] Racco42: https://twitter.com/Racco42/status/895236812817432576

[2] Image: http://www.zdnet.de/wp-content/uploads/2017/06/kaspersky-ransomware.jpg

[3] Bleeping Computer: https://www.bleepingcomputer.com/news/security/locky-ransomware-returns-with-spam-campaign-pushing-diablo6-variant/

[4] Studie: Ransomware-Angriffe für KMU besonders gefährlich: http://www.zdnet.de/88306065/studie-ransomware-angriffe-fuer-kmu-besonders-gefaehrlich/

[5] Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?: http://smart.kyoceradocumentsolutions.de/e-books/von-artikelnummer-bis-zustellung-so-verbessern-sie-mit-dms-ihre-logistikprozesse-von-a-bis-z/?utm_source=netmediaeurope&utm_medium=display&utm_content=text-picture&utm_campaign=cf

[6] Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.: http://www.silicon.de/survey/wie-gut-kennen-sie-die-geschichte-von-computer-viren/