Wie verbreitet sich Locky?
Die neue Version von Locky setzt auf neue Technologien, um nicht so schnell von den Antivirenprogrammen entdeckt zu werden. Laut den Forschern von Proofpoint wurden am 21.06.2016 wieder Phishing-Mails mit Locky-Anhang verschickt. Dieses Mal ist es nicht nur eine infizierte Word-Datei mit Macro-Anhängen, sondern meist eine .zip-Datei.
Der Schadcode wird dann über den Windows –Scripting-Host ausgeführt. Dieser Host kann vom User deaktiviert werden. Die betroffenen Mails werden als "Bewerbung“ oder „Letzte Mahnung“ verschickt.
Selbst Virtuelle Maschinen erkennt Locky jetzt
Durch einen recht einfachen Algorithmus erkennt Locky, wie auch Antivirenprogramme, ob der Code auf einer virtuellen Maschine ausgeführt wird. Es wird berechnet, wieviel CPU-Zyklen gebraucht werden, um bestimmte Windows-APIs auszuführen. Die Virtualisierung benötigt mehr Zyklen.
Da der Code von Locky obfuskiert („unklar machen“) ist, muss er mit dem Argument 123 geladen werden. Nur so kann der Code von Virenscannern vollständig analysiert werden. Nach Aussagen von Proofpoint wurden ca. 10 Prozent des damaligen Höchstwertes des Aussendevolumens erreicht. Nützliche Filterregeln lassen sich hier finden.
