Infektion über Spam-Mails
Derzeit sollten wir wieder mit Bedacht unsere E-Mail Postfächer lesen, denn Locky wird wieder weltweit kräftig über infizierte Spam-Mails verbreitet, wie blog.botfrei.de eindringlich warnt. Dazu heißt es, dass der Erpressungstrojaner Locky zwar zu den wohl am meisten verteilten Ransomware-Varianten weltweit gehört. Sein Einsatz hingegen erfolgt immer nur sporadisch.
Daneben existieren zahlreiche andere Ransomware-Trojaner wie der Cerber, Spora, u.a. Nutzern das Leben schwer machen. Wie verlautet sind sich die Experten noch nicht einig ob der der Erpressungstrojaner Locky zum großen Finale angetreten ist, oder ob es nur ein weiterer Versuch ist die Welt in Atem zu halten.
Locky Variante “Diablo6”
Entdeckt wurde die neue Locky Variante “Diablo6” von dem Sicherheitsexperten Racco24. Die Verteilung erfolgt relativ unspektakulär als Zip-Archiv im Anhang einer Spam E-Mail. In der E-Mail heißt es kurz und bündig „Dateien angehängt. Danke.“ Die Betreffzeile beinhaltet z.B. den Namen der im Anhang befindlichen ZIP-Datei, zum Beispiel E 2017.08.09 (698).docx.
Im Ziparchiv befindet sich dann ein VBS-Skript-Downloader, der nach Ausführung über integrierte URL-Adressen den eigentlichen Locky-Trojaner auf das System herunter lädt und im %Temp%-Verzeichnis ablegt. Durch automatisches Ausführen beginnt der Erpressungs-Trojaner seine Arbeit. Das bedeutet:
- Das System wird nach Dateien durchsucht
- Die Dateien werden verschlüsselt
- Der Dateiname wird umbenannt und als Erweiterung bekommen die verschlüsselten Dateien “.diablo6” angehängt. Die Formate der Dateinamen können dann wie folgt aussehen: “[first_8_hexadecimal_chars_of_id] – [next_4_hexadecimal_chars_of_id] – [next_4_hexadecimal_chars_of_id] – [4_hexadecimal_chars] – [12_hexadecimal_chars] .zepto”
- Im Anschluss löscht die Malware alle Spuren und zeigt die Lösegeldforderung an
Die Lösegeldforderung
Über diverse Angaben der Zahlungsmodalitäten sollen Opfer über das Locky Decryptor TOR Bezahlsystem eine Lösegeldsumme von .49 BTC oder ungefähr $ 1.600 USD für die Wiederherstellung der verschlüsselten Daten bezahlen.
Leider gibt es derzeit noch keine Möglichkeiten, die über die Locky Ransomware Variante “Diablo6” verschlüsselten Daten wiederherzustellen! Die einzige Möglichkeit ist hier das Zurückspielen der letzten Backups. Eine weitere Möglichkeit kann das Herstellen der Daten aus Volumen-Schattenkopien bieten.
Botfrei rät:
Achtung: Kommen Sie niemals der Lösegeldforderung nach – Angst und Einschüchterung ist die Motivation der Kriminellen: Wir von Botfrei schließen uns der Meinung des BSI, dem BKA und Polizeibehörden an und raten dringend davon ab, hier das Lösegeld an die Cyberkriminellen zu bezahlen!
Botfrei Tipps wie Sie den Rechner gegen Ransomware sicherer machen
- Wichtiger denn je, machen Sie regelmäßig Backups von Ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Schauen Sie sich dazu das kostenfreie EaseUS Todo Backup an. Oder lesen Sie hier, wie Dateien über Windows gesichert werden können>>
- Deaktivieren Sie Macros in Office, laden Sie Dokumente nur aus vertrauenswürdigen Quellen! Gut zu Wissen: Macro-Infektionen sind in alternativen Office-Anwendungen wie Libre-Office nicht funktionsfähig.
- Überprüfen Sie Ihren Rechner mit unseren kostenfreien EU-Cleanern>>
- Schützen Sie Ihren Computer vor einer Infektion, indem Sie das System immer “up-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein.
- Ändern Sie die Standardeinstellung von Windows, welche die Datei-Erweiterungen ausblendet>>
- Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht auf integrierte Links, bzw. öffnen Sie niemals unbekannte Anhänge.
- Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
- Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac
Betroffene Unternehmen, Behörden und Institutionen sollten sich zudem an das BSI wenden bzw. bei “No More Ransom” über mögliche Hilfen zur Wiederherstellung informieren.
Brauchen Sie dazu Hilfe? Das Botfrei-Team bietet ein kostenfreies Forum an. Experten helfen „Schritt für Schritt“ bei der Lösung, Entfernung und nachhaltigen Absicherung des Computers.
Darauf sollten Sie im Forum achten: Damit die Experten auf Sie aufmerksam werden und helfend unterstützen können, sollten Sie sich im Forum anmelden und einen Beitrag erstellen, in dem Sie Ihr Problem schildern. Nur dann kann individuell geholfen und die Infektion entfernt werden!
Weiterführende Links:
blog.botfrei.de: Weltweite Spamwelle verbreitet teuflische Variante des Locky