Ransomware: Neue Locky-Variante nutzt Dateianhang im 7-Zip-Format

Das Archiv lässt sich nicht mit Windows-Bordmitteln öffnen. Das enthaltene VBS-Script lädt Locky herunter und führt die Ransomware aus. Sie verlangt nun ein Lösegeld von 0,25 Bitcoin oder 816 Euro. Eine weitere Locky-Kampagne versucht sogar 0,7 Bitcoin oder 2219 Euro zu erpressen.

Der Sicherheitsforscher Derek Knight hat eine neue Variante der Ransomware Locky entdeckt. Sie wird derzeit per E-Mail als Dateianhang verteilt, beispielsweise mit der Betreffzeile „Status of Invoice“. Für den Dateianhang wählten die Hintermänner jedoch ein eher ungewöhnliches Format: Die von der Open-Source-Software 7-Zip erstellten Archive lassen sich nämlich nicht mit Windows-Bordmitteln öffnen.

Ransomware (Bild: Shutterstock/Bildbearbeitung: ZDNet.de)Der Dateianhang wiederum enthält laut einem Bericht von Bleeping Computer ein VBS-Skript, das die eigentliche Locky-Ransomware von einem entfernten Server herunterlädt und startet. Sie durchsucht anschließend den Computer und beginnt mit der Verschlüsselung von Dateien.

Neu ist auch die Dateiendung „Ykcol“ (Locky rückwärts geschrieben), die die Ransomware an alle verschlüsselten Dateien anhängt. Auch die Dateinamen werden verändert. Sie bestehen anschließend aus einer eindeutigen ID, die Locky für jeden befallenen Computer erzeugt, sowie 16 zufällig generierten Hexadezimalzeichen.

Die Lösegeldforderung liegt nun im HTML-Format vor undnicht mehr als Bitmap-Grafik. Wie bei anderen Locky-Varianten auch sollen Betroffene den Tor-Browser installieren und damit eine bestimmte Onion-Website aufrufen. Dort wiederum finden sie die Anleitung zur Zahlung des Lösegelds in Höhe von 0,25 Bitcoin, was derzeit rund 816 Euro entspricht.

Laut Trend Micro ist Locky aber auch in einer Spamkampagne aktiv, die sich derzeit gegen Nutzer in den USA, Deutschland und China richtet. Auch hier soll eine angebliche Rechnung Nutzer zum Download der Erpressersoftware verleiten, allerdings ist die infizierte Datei nicht an die E-Mail angehängt – Nutzer müssen stattdessen auf einen Link klicken, um die Datei herunterzuladen. Wie bei der neuen Locky-Variante setzten die Cyberkriminellen aber auch hier auf das Archivformat 7Z.

Nicht nur das Dateiformat legt die Vermutung nahe, dass zwischen beiden Kampagnen ein Zusammenhang besteht. Die Erpresser leiten ihre Opfer in beiden Fällen auf dieselbe Onion-Adresse im Tor-Netzwerk. Allerdings fordern die Erpresser der von Trend Micro aufgedeckten Kampagne ein höheres Lösegeld von 0,7 Bitcoin oder 2290 Euro.

Eine weitere Besonderheit ist, dass die Links in den von Trend Micro gefundenen Spam-E-Mails Nutzer nicht nur zu Locky führen, sondern im Wechsel auch zur einer Ransomware namens FakeGlobe. Nutzer, die in einem gewissen zeitlichen Abstand mehrfach auf den Link klicken, können ihre Systeme unter Umständen also mit einer zweiten Erpressersoftware infizieren.

ANZEIGE

Indoor Digitalisierung: Innenräume einfach digitalisieren

Digitale Gebäude- und Rettungspläne, per Smartphone zum Gate navigieren, Häuser und Wohnungen per 3-D-Rundgang auf dem Tablet besichtigen oder 360-Grad-Einblicke in Hotelzimmer erhaschen: Mit der Indoor Digitalisierung bietet die Deutsche Telekom die großflächige Visualisierung von Innenräumen und eine präzise Navigation aus einer Hand – „gehostet in Germany“.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: HPE / Intel Just Right IT, Malware, Ransomware, Security, Sicherheit, Trend Micro

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen: