Locky 2.0 – Der Trojaner nun auch per Scripte – ACHTUNG!
Nachdem der Verschlüsselungs-Trojaner zunächst vor allem über Office-Dateien verbreitet wurde, verschicken die Täter jetzt Skripte. Dadurch ist ein Ludwigsluster Wursthersteller unfreiwillig zur Anlaufstelle der Locky-Opfer geworden.
Der auf Windows-Rechner zielende Verschlüsselungs-Trojaner Locky wird inzwischen auch über Skript-Dateien verbreitet, die täuschend echt aussehenden Rechungs-Mails anhängen. Zuvor nutzten die Täter vor allem Office-Dateien mit Makro-Code und Exploit-Kits, um den Schädling unter die Leute zu bringen. Durch den neuen Verbreitungsweg waren die Online-Ganoven den Virenscannern wieder einen Schritt voraus.
Ein Ludwigsluster Wursthersteller hat sich unterdessen unfreiwillig zur zentralen Anlaufstelle der Locky-Opfer entwickelt.
.
Get Locky – mit Javascript
Am Freitagmorgen begannen die Täter, verseuchte Mails über ein Botnet zu verschicken. Der variierende Betreff lautet etwa Rechnung Nr. 2016_131, der Absender zum Beispiel fueldner6D@lfw-ludwigslust.de. Der Empfänger wird im Namen der Ludwigsluster Fleisch- und Wurstspezialitäten GmbH in einwandfreiem Deutsch aufgefordert, die angehängte Rechnung zu öffnen und den Adressaten zu korrigieren. Im Anhang findet sich ein ZIP-Archiv nach dem Muster RG843841155137-SIG.zip, das eine Javascript-Datei enthält. Wer neugierig geworden ist und das Skript ausführt, fängt sich umgehend den Verschlüsselungs-Trojaner ein.
Eine Analyse des obfuskierten Skripts zeigt, dass es sich um einen Downloader handelt, der den eigentlichen Locky-Trojaner nachlädt und ausführt. Locky durchsucht anschließend die Festplatte und Netzwerkfreigaben und verschlüsselte alle Dateien, die seinem Besitzer potenziell lieb und teuer sind: Dokumente, Bilder, Projekte und mehr. Wer wieder auf die Dateien zugreifen will, soll ein Lösegeld in Höhe von 0,5 Bitcoin zahlen – umgerechnet rund 190 Euro. Was man im Fall der Fälle möglicherweise noch retten kann, ohne auf die Forderung des Erpressungs-Trojaners einzugehen, wird in „Krypto-Trojaner Locky: Was tun gegen den Windows-Schädling“ beschrieben.
BSI rät zu Backups
Wer auf Nummer sicher gehen will, muss seine Dateien sichern. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) macht aktuell darauf aufmerksam, dass: „regelmäßig angelegte Daten- und System-Backups im Falle einer Infektion durch einen Verschlüsselungs-Trojaner (Ransomware) oft die einzige Möglichkeit sind, die betroffenen Dateien und Systeme wiederherzustellen und größeren Schaden zu vermeiden.“
Dabei ist darauf zu achten, dass der Sicherungs-Datenträger nicht dauerhaft mit dem System verbunden ist, da der Trojaner sich auch über USB-Festplatten und -Sticks hermacht.