Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
News Disclaimer
Erpressungs-Trojaner Locky nun mit Autopilot

16.09.2016

 zur Newsdatenbank home

Sicherheitsforscher von Avira erläutern, dass die Ransomware Locky nun auch Daten auf Windows-Computern verschlüsseln kann, die nicht an das Internet angebunden sind. Der Schädling konnte in früheren Versionen auf Offline-Systemen nichts ausrichten, da die Kriminellen die Verschlüsselung erst über einen vom Command-and-Control-Server (C&C) aus gesendeten Befehl anstoßen konnten.

Außerdem erzeugt Locky für Offline-Opfer keine individuellen RSA-Schlüssel (Public Key) für die Verschlüsselung. Der für die Entschlüsselung benötigte geheime Schlüssel wurde zuvor auf dem C&C-Server verwahrt. Derzeit ist nicht bekannt, wo sich dieser nun befindet.

Die Kriminellen können ohne C&C-Server noch besser im Verborgenen arbeiten, da sie keine kostenintensive Server-Infrastruktur mehr benötigen, deren Standort sie verschleiern müssen. Locky setzt für die Bezahlung des Lösegelds aber weiterhin auf URLs, die auf Hidden Services in das anonymisierte Tor-Netzwerk verweisen.

Ohne C&C-Server haben Strafverfolgungsbehörden noch weniger Ansatzpunkte für Ermittlungen. Dafür müssen die Kriminellen auf Infektions-Statistiken der C&C-Server verzichten.

Opfer werden in der Regel mit gefälschten E-Mails dazu gebracht, den Datei-Anhang dieser E-Mails zu öffnen, um so eine Infektion einzuleiten. Allerdings befindet sich der Schädling nicht direkt im Anhang, sondern ein Office-Dokument mit Makro-Code oder ein Skript, welches nach dem Öffnen den Schädling auf den Computer holt. Sogenannte Loader kommen dafür zum Einsatz.

Sicherheitsforscher von Forcepoint berichten, dass Locky neuerdings über den Quant Loader auf Computer gelangen soll. In russischen Untergrund-Foren werde der Loader zum Verkauf angeboten und wirbt neben dem Download von Schädlingen unter anderem auch mit der Möglichkeit, Nutzer-Rechte erhöhen zu können. Die Sicherheitsforscher können letzteres aber nicht bestätigen.

Der Anbieter lockt zudem damit, dass der Quant Loader von Grund auf neu entwickelt wurde, und er soll sich effektiv vor Viren-Wächtern verstecken können. Dies ist laut einer Analyse von Forcepoint aber nicht der Fall. Der Quant Loader baut auf dem Code des Madness DDoS Systems auf, das bereits von vielen Viren-Wächtern erkannt wird.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89