Der Sicherheitsforscher Derek Knight hat eine neue Variante der Ransomware Locky entdeckt. Sie wird derzeit per E-Mail als Dateianhang verteilt, beispielsweise mit der Betreffzeile „Status of Invoice“. Für den Dateianhang wählten die Hintermänner jedoch ein eher ungewöhnliches Format: Die von der Open-Source-Software 7-Zip erstellten Archive lassen sich nämlich nicht mit Windows-Bordmitteln öffnen.
Neu ist auch die Dateiendung „Ykcol“ (Locky rückwärts geschrieben), die die Ransomware an alle verschlüsselten Dateien anhängt. Auch die Dateinamen werden verändert. Sie bestehen anschließend aus einer eindeutigen ID, die Locky für jeden befallenen Computer erzeugt, sowie 16 zufällig generierten Hexadezimalzeichen.
Die Lösegeldforderung liegt nun im HTML-Format vor undnicht mehr als Bitmap-Grafik. Wie bei anderen Locky-Varianten auch sollen Betroffene den Tor-Browser installieren und damit eine bestimmte Onion-Website aufrufen. Dort wiederum finden sie die Anleitung zur Zahlung des Lösegelds in Höhe von 0,25 Bitcoin, was derzeit rund 816 Euro entspricht.
Laut Trend Micro ist Locky aber auch in einer Spamkampagne aktiv, die sich derzeit gegen Nutzer in den USA, Deutschland und China richtet. Auch hier soll eine angebliche Rechnung Nutzer zum Download der Erpressersoftware verleiten, allerdings ist die infizierte Datei nicht an die E-Mail angehängt – Nutzer müssen stattdessen auf einen Link klicken, um die Datei herunterzuladen. Wie bei der neuen Locky-Variante setzten die Cyberkriminellen aber auch hier auf das Archivformat 7Z.
Nicht nur das Dateiformat legt die Vermutung nahe, dass zwischen beiden Kampagnen ein Zusammenhang besteht. Die Erpresser leiten ihre Opfer in beiden Fällen auf dieselbe Onion-Adresse im Tor-Netzwerk. Allerdings fordern die Erpresser der von Trend Micro aufgedeckten Kampagne ein höheres Lösegeld von 0,7 Bitcoin oder 2290 Euro.
Eine weitere Besonderheit ist, dass die Links in den von Trend Micro gefundenen Spam-E-Mails Nutzer nicht nur zu Locky führen, sondern im Wechsel auch zur einer Ransomware namens FakeGlobe. Nutzer, die in einem gewissen zeitlichen Abstand mehrfach auf den Link klicken, können ihre Systeme unter Umständen also mit einer zweiten Erpressersoftware infizieren.
Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Er treibt das neue iPad Pro mit OLED-Display an. Apple verspricht eine deutliche Leistungssteigerung gegenüber…
Davon entfällt ein Viertel auf staatliche Einrichtungen und 12 Prozent auf Industrieunternehmen.
Forscher umgehen die Verschlüsselung und erhalten Zugriff auf VPN-Datenverkehr im Klartext. Für ihren Angriff benötigen…
Weitere 40 Prozent der Deutschen erledigen ihre Geldgeschäfte überwiegend online und gehen nur noch selten…
Zwei Schwachstellen in Chrome gehören nun der Vergangenheit an. Von ihnen geht ein hohes Risiko…
Mit der zunehmenden computerbasierten und globalen Vernetzung gewinnt die digitale Souveränität an rasanter Bedeutung. Viele…