Das Avira Virus Lab hat eine neue Variante der Ransomware Locky entdeckt, die über einen Offline-Modus verfügt. Sie kann in diesem auch ohne Befehle eines Command-and-Control-Servers (C&C-Server) Dateien auf einem befallenen Rechner verschlüsseln, um anschließend Lösegeld für die erneute Freigabe der Daten zu erpressen.
Nachdem Locky sich auf dem System eingenistet hat, bleibt nicht viel Zeit. Von der Infektion bis zur Verschlüsselung von Dateien im Offline-Modus dauert es Avira zufolge 1 bis 2 Minuten. Zunächst versucht die Malware in mehreren Schritten, einen C&C-Server zu erreichen. Schlagen alle Versuche fehl, schaltet sie in den Offline-Verschlüsselungsmodus.
„Auch wenn Locky weiterhin Versuche unternimmt, Verbindungen aufzubauen, und diese beobachtet werden können, wird es die Dateien verschlüsseln, wenn sie fehlschlagen“, erklärt Kroll. „Wenn ein Administrator also solche Verbindungen feststellt, bleibt ihm nur sehr wenig Zeit, den Computer herunterzufahren, bevor Daten beschädigt werden.“
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Die neue Variante der Ransomware hat aber auch eine mögliche Schwäche: Wenn ein Erpressungsopfer Lösegeld für eine private Entschlüsselungs-ID aus dem Offline-Modus gezahlt hat, könnte diese auch von anderen Nutzern mit demselben Public Key verwendet werden, um Daten wiederherzustellen.
Im Offline-Modus kann die Malware die ID eines Opfers nicht direkt beim Server registrieren und somit einen einmaligen Public Key erhalten, wie es sonst üblich ist. In diesen Fällen verwendet es einen öffentlichen Schlüssel, der Teil der Konfiguration ist, und generiert eine einmalige Opfer-ID für die Bezahlseite. Der Public Key gilt dann für alle „Offline-Opfer“, deren Rechner von Locky-Versionen mit derselben Konfiguration infiziert wurden. Er besitzt auch selbst eine ID, wahrscheinlich damit der Server zwischen öffentlichen Schlüsseln verschiedener Locky-Konfigurationen unterscheiden kann. Anhand der Oper-ID wird überprüft, ob das Lösegeld bereits bezahlt wurde.
Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Recall hilft beim Auffinden von beliebigen Dateien und Inhalten. Die neue Funktion führt Microsoft zusammen…
Es tritt auch unter Windows Server auf. Seit Installation der April-Patches treten Fehlermeldungen bei VPN-Verbindungen…
Das neue Release soll es allen Mitarbeitenden möglich machen, zur Ausgestaltung der IT beizutragen.
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
