Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
News Disclaimer
Ransomware: Neue Locky-Variante nutzt Dateianhang im 7-Zip-Format

20.09.2017

 zur Newsdatenbank home

Eine neue Variante der Ransomware Locky wurde von dem Sicherheitsforscher Derek Knight entdeckt. Derzeit wird die Ransomware per E-Mail als Dateianhang verteilt, beispielsweise mit der Betreffzeile „Status of Invoice“. Die Hintermänner wählten für den Dateianhang jedoch ein eher ungewöhnliches Format: Die von der Open-Source-Software 7-Zip erstellten Archive lassen sich nämlich nicht mit Windows-Bordmitteln öffnen.

Laut einem Bericht von Bleeping Computer enthält der Dateianhang ein VBS-Skript, welches die eigentliche Locky-Ransomware von einem entfernten Server herunterlädt und startet. Anschließend wird der Computer durchsucht und beginnt mit der Verschlüsselung von Dateien.

Die neue Dateiendung "Ykcol" (Locky rückwärts geschrieben) wird von der Ransomware an alle verschlüsselte Daten angehängt, und die Dateinamen werden ebenfalls verändert. Der Dateiname besteht anschließend aus einer eindeutigen ID, die Locky für jeden befallenen Computer erzeugt, sowie 16 zufällig generierte Hexadezimalzeichen.

Locky soll auch laut Trend Micro in einer Spamkampagne aktiv sein, die sich derzeit gegen Nutzer in den USA, Deutschland und China richtet. Eine angebliche Rechnung soll Nutzer zum Download der Erpressersoftware verleiten, allerdings ist die infizierte Datei nicht an die E-Mail angehängt. Hier muss der Anwender auf einen Link klicken, der die Datei herunterläd. Die Cyberkriminellen setzten auch hier das Archivformat 7Z ein.

Die Vermutung legt nahe, dass das Dateiformat zwischen beiden Kampagnen einen Zusammenhang hat. In beiden Fällen werden die Opfer auf dieselbe Onion-Adresse im Tor-Netzwerk geleitet.

Die Links in den von Trend Micro gefundenen Spam-E-Mails führen die Anwender nicht nur zu Locky, sondern im Wechsel auch zur einer Ransomware namens FakeGlobe. Anwender, die mehrfach auf den Link klicken, können ihre Systeme unter Umständen also mit einer zweiten Erpressersoftware infizieren.

(pp, hannover)

(siehe auch zdnet.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89