Das Avira Virus Lab hat eine neue Variante der Ransomware Locky entdeckt, die über einen Offline-Modus verfügt. Sie kann in diesem auch ohne Befehle eines Command-and-Control-Servers (C&C-Server) Dateien auf einem befallenen Rechner verschlüsseln, um anschließend Lösegeld für die erneute Freigabe der Daten zu erpressen.
Nachdem Locky sich auf dem System eingenistet hat, bleibt nicht viel Zeit. Von der Infektion bis zur Verschlüsselung von Dateien im Offline-Modus dauert es Avira zufolge 1 bis 2 Minuten. Zunächst versucht die Malware in mehreren Schritten, einen C&C-Server zu erreichen. Schlagen alle Versuche fehl, schaltet sie in den Offline-Verschlüsselungsmodus.
„Auch wenn Locky weiterhin Versuche unternimmt, Verbindungen aufzubauen, und diese beobachtet werden können, wird es die Dateien verschlüsseln, wenn sie fehlschlagen“, erklärt Kroll. „Wenn ein Administrator also solche Verbindungen feststellt, bleibt ihm nur sehr wenig Zeit, den Computer herunterzufahren, bevor Daten beschädigt werden.“
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Die neue Variante der Ransomware hat aber auch eine mögliche Schwäche: Wenn ein Erpressungsopfer Lösegeld für eine private Entschlüsselungs-ID aus dem Offline-Modus gezahlt hat, könnte diese auch von anderen Nutzern mit demselben Public Key verwendet werden, um Daten wiederherzustellen.
Im Offline-Modus kann die Malware die ID eines Opfers nicht direkt beim Server registrieren und somit einen einmaligen Public Key erhalten, wie es sonst üblich ist. In diesen Fällen verwendet es einen öffentlichen Schlüssel, der Teil der Konfiguration ist, und generiert eine einmalige Opfer-ID für die Bezahlseite. Der Public Key gilt dann für alle „Offline-Opfer“, deren Rechner von Locky-Versionen mit derselben Konfiguration infiziert wurden. Er besitzt auch selbst eine ID, wahrscheinlich damit der Server zwischen öffentlichen Schlüsseln verschiedener Locky-Konfigurationen unterscheiden kann. Anhand der Oper-ID wird überprüft, ob das Lösegeld bereits bezahlt wurde.
Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…
Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…
Eine neue Analyse der EU-Kommission sieht vor allem eine hohe Verbreitung von iPadOS bei Business-Nutzern.…
Das operative Ergebnis wächst um fast 6 Billionen Won auf 6,64 Billionen Won. Die Gewinne…
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…
Die Vorfreude steigt, denn BAUMLINK wird als Partner und Aussteller bei der Tech Show 2024…