Verschlüsselungstrojaner Locky

Ransomware-Tsunami

Eine enorme Infektionswelle mit Ransomware markiert den Beginn dieses Jahres. So stellt der Verschlüsselungstrojaner Locky bislang alles Dagewesene in den Schatten. Immer neue Angriffsmuster und ein stetig weiterentwickelter Schädling machen IT-Verantwortlichen, Anwendern wie auch Security-Anbietern das Leben schwer. Worin die Besonderheiten von Locky liegen und wie Sie sich schützen können, zeigt dieser Beitrag.
Die Zusammenarbeit im Unternehmen wird immer dynamischer und flexibler. Aus diesem Grund wirft IT-Administrator in der April-Ausgabe einen Blick auf die ... (mehr)

Seit Februar folgt eine Locky-Infektionswelle nach der nächsten. Die Windows-Anwender werden per Drive-by-Download oder über einen E-Mail-Anhang attackiert. Nach der Infektion verschlüsselt das Schadprogramm einzelne Dateien oder gar ganze Festplatten und fordert von seinem Opfer eine anonyme Lösegeldzahlung in Bitcoin. Locky findet hierzulande massenhaft Opfer, darunter auch namhafte Unternehmen und Institutionen. Der Trojaner verändert sich nahezu wöchentlich und ist unter anderem unter folgenden Namen bekannt:

- Ransom: Win32/Locky.A:

- TrojanDownloader: O97M/Bartallex

- TrojanDownloader: BAT/Locky.A

- TrojanDownloader: JS/Locky.A

Verschlüsseln und erpressen

Der Name "Locky" deutet bereits auf seine Funktion hin. Die Ransomware verschlüsselt Dateien auf dem betroffenen Computer, Netzlaufwerken und durch Synchronisierung auch in der Cloud. Diese Daten können nur wiederhergestellt werden, wenn Sie den Entschlüsselungsschlüssel besitzen oder Kopien der Dateien auf einem externen, nicht betroffenen Speichermedium angefertigt haben. Locky sucht gezielt nach Audio-, Dokument-, Video-, Bild-, Datenbank- und Archivdateien. Sobald der Trojaner diese Dateien gefunden hat, verschlüsselt er sie mit AES. Darüber hinaus löscht die Malware auch Volumenschattenkopien, die für das Wiederherstellen der verschlüsselten Dateien verwendet werden könnten.

Ist die Verschlüsselung abgeschlossen, hinterlegt Locky eine Lösegeldforderung und richtet zudem einen Desktop-Hintergrund ein, der dieselben Informationen wie in der Lösegeldforderung enthält. So wird verlangt, dass Betroffene das Lösegeld von 0,5 bis 1 Bitcoin (etwa 200 bis 400 Euro) an die Cyberkriminellen transferieren. Im Gegenzug sollen sie den privaten Schlüssel für die Entschlüsselung der Dateien erhalten.

Der Erpressungstrojaner verbreitet sich aktuell insbesondere in Deutschland

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Support-Ende von SMBv1

Mit dem aktuellen Update für Windows 10 und Windows Server 2016 steht eine Änderung ins Haus, die gerade für Benutzer älterer Linux-Distributionen große Auswirkungen hat. Nachdem Microsoft es über viele Jahre schon angekündigt hat, entfernt der Konzern mit dem aktuellen Update-Release den Support für das SMB-Protokoll 1. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Linux-Backup

Welche Backup-Lösung setzen Sie für Linux im professionellen Umfeld ein?

  • keine
  • eigene Scripts
  • rsnapshot
  • rdiff-backup
  • Bacula
  • Bareos
  • Borg
  • Duplicity
  • Amanda
  • Burp
  • Clonezilla
  • Acronis
  • Arkeia
  • SEP sesam
  • Veeam
  • Redo Backup
  • Relax-and-Recover
  • andere kommerzielle Software
  • andere Open-Source-Software

Google+

Ausgabe /2018

Microsite