Locky kommt per Mail mit Rechnung
Die „Locky-Mail“ tarnt sich als Rechnung, die im angehängten Word-Dokument zu finden ist. Im Betreff heißt es dazu: ATTN: Invoice J-98223146
Und die Mitteilung an den Adressaten lautet:
„Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice.“
Wie es heißt, wird die Mail aktuell auch in korrektem Deutsch verfasst.
Im Normalfall sind Makros deaktiviert. Das entspricht auch den Sicherheitsempfehlungen von Microsoft. Sind Makros aktiviert und ein herunter geladenes Dokument wird geöffnet, startet die Installation der Schadsoftware. Wenn nicht, so sieht das ahnungslose Opfer Zeilen unverständlichen Textes, der den Nutzer anweist, die „Makros zu aktivieren, sollte das Daten-Encoding nicht korrekt sein“. Ist der Schädling installiert wird die ausführbare Datei geladen und die Verschlüsselung von Dateien wie Dokumente, Bilder, Musik, Videos, Archive, Datenbanken und andere zu Webanwendungen gehörende Dateien beginnt. Mit der Verschlüsselung erfolgt auch die Umbenennung der Dateien auf die Endung .locky.
Opfer sollen Lösegeld zahlen
Um Lösegeld zu bekommen, werden Lösegeldforderungen in verschiedenen Sprachen in jedem Verzeichnis, das verschlüsselt wurde, abgelegt. Die Bezahlung, die in Bitcoins (0,5 BTC) geleistet werden soll, erfolgt über ein Tor-Netzwerk.
Die Ransomware Locky ist weltweit aktiv. Sie wurde in Japan, Deutschland, Frankreich, Italien, Großbritannien, Mexiko, Spanien, Israel und Indien entdeckt. Daneben sind die USA stark betroffen, hier wurden etwa 54 % der Opfer des Verschlüsselungs-Trojaners ermittelt. Zwischenzeitlich hat sich der Erpressungs-Trojaner auch in Deutschland rasant verbreitet. Sicherheits-Experten zählten 5.300 Neuinfektionen, von denen selbst das Fraunhofer-Institut in Bayreuth betroffen war. Der Virus legte dort mehrere Dutzend PC-Arbeitsplätze lahm, indem er die Daten auf einem zentralen Server verschlüsselte und damit unbrauchbar machte.
Zusammenhänge zwischen Locky und weiteren Crypto-Ransomware Varianten
Wie Trend Micros Sicherheitsforscher analysierten, gibt es nicht nur Verbindungen zu DRIDEX. Dieser hat den gleichen Makro-Downloader und die gleiche Codierungsart und denselben Dateinamen (ladybi.exe).
Festgestellt wurde daneben auch ein Zusammenhang mit anderen Crypto-Ransomware Varianten. So werden Locky, CRYPTESLA und CRILOCK von demselben Packer gepackt. Das bedeutet, dass das Tool entweder von demselben Distributor stammt, oder dass dieser Packer für verschiedene Ransomware-Autoren leicht zugänglich ist.
Ransomware-Infektionen haben hohes Gefahrenpotential
Sie wollen mit allen Mitteln Lösegeld erpressen, die Autoren von Ransomware. Dabei ist ihnen jedes Mittel recht. Das zeigten auch die kürzlich verübten Angriffe auf Krankenhäuser in Nordrhein-Westfalen, wie trojaner-info.de berichtete. Hier wurden Leib und Leben von Patienten aufs Spiel gesetzt. Ein ernster Vorfall war auch der Angriff auf das Hollywood Presbyterian Medical Center, der dazu führte, dass ein beträchtliches Lösegeld gezahlt wurde, um betroffene Systeme wiederherstellen zu können.
Schutzmaßnahmen
Wie aus Expertenkreisen verlautet, werde der Schädling durch eine aktuell veränderte Verbreitungsmethode auch von Antiviren-Programmen derzeit nicht erkannt. Trotzdem wird geraten, den Rechner umgehend herunterzufahren oder notfalls einfach auszuschalten. Dann könnte der Computer mit einer Anti-Viren-DVD gestartet und der Virus zu eliminieren versucht werden.
Das Bundesamt für Sicherheit in der Informationstechnik rät, auf keinen Fall auf die Lösegeldforderungen einzugehen, sondern Anzeige zu erstatten. In vielen Fällen würden auch nach einer Zahlung die Daten nicht wieder entschlüsselt.
