Offensichtlich ist Locky, eine Ransomware, im großen Stil zurück und verschlüsselt wieder Daten, um Lösegelder einzufordern. Sicherheitsforscher von Proofpoint stießen vor wenigen Tagen darauf, als sie beobachteten, dass Locky wieder über das Necurs-Botnet verteilt wird.

Ende Mai dieses Jahres stellte das Botnet aus unbekannten Gründen die Verteilung des Erpressungs-Trojaners ein. Die Kryptologen warnen, dass sich Locky aktuell über "Millionen von E-Mails" verbreitet und sie gehen davon aus, dass das Volumen der Kampagne noch weiter zunimmt.

Der Trojaner verbreite sich zum Beispiel über gefälschte Rechnungs-E-Mails, die ein Zip-Archiv im Anhang mitbringen, in dem sich eine JavaScript-Datei befindet. Wird diese dann geöffnet, landet Locky auf dem Computer und beginnt mit seinem Zerstörungswerk. Leser haben sich in den vergangenen Tagen gehäuft an heise Security gewendet und von vorgeblichen Bewerbungs-Mails berichtet, die einen Schädling mitbrachten.

Laut den Sicherheitsforschern ist zwar die Verbreitungsmethode nicht neu, aber der Schädling hat dazugelernt und kann sich nun besser verstecken. So erkenne Locky, ob er sich in einer virtuellen Maschine befindet, um so eine Analyse zu erschweren.

Locky tauchte im Februar dieses Jahres in Deutschland auf und soll über 5000 Computer pro Stunde infiziert haben. Noch gibt es kein Tool, mit dem die von Locky verschlüsselten Daten kostenlos entschlüsseln kann.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE