Ein erhöhtes Aufkommen von gefälschten Rechnungs-E-Mails mit dem Verschlüsselungstrojaner Locky als Dateianhang haben verschiedene Sicherheitsforscher beobachtet. Allerdings bedroht die neue Version der Ransomware offenbar derzeit nur Computer mit Windows XP, wie die Sicherheitsforscher von Cisco Talos erläutern. Die von Locky verschlüsselten Dateien sollen die Dateiendung .loptr aufweisen.

Locky befindet sich als ausführbare Datei in einem doppelt gepackten Zip-Archiv im Anhang von E-Mails, berichtet Talos. In der Regel ist der alleinige Empfang noch nicht gefährlich, da ein Opfer zunächst die Archive öffnen und Locky offenbar selbst ausführen muss.

Über als Rechnung getarnte Word-Dokumente mittels Makros infizieren Erpressungstrojaner normalerweise Computer. In diesem Fall ist es wahrscheinlicher, dass sich ein Opfer vom Text in der E-Mail dazu bringen lässt, das Dokument zu öffnen, anschließend die Makros zu aktivieren, um so die Infektion einzuleiten.

Talos hat eigenen Angaben zufolge ein aktuelles Sample analysiert und konnten ausschließlich XP-Systeme infizieren. Ab Windows 7 soll der Schutzmechanismus Data Execution Prevention (DEP) das Ausführen von Locky verhindern, so Talos.

Bereits seit Windows XP Service Pack 2 gibt es die DEP-Funktion. DEP wird seit Windows Vista um Adress Space Layout Randomization (ASLR) zum vorbeugen von Speicherfehlern ergänzt. Talos führt derzeit nicht aus, ob XP Service Pack 2 und Vista für die aktuelle Locky-Version anfällig sind.

(ts, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE