Anzeige
Über eine Tor-Seite können Nutzer den Schlüssel zur Freigabe ihrer Daten kaufen.
Über eine Tor-Seite können Nutzer den Schlüssel zur Freigabe ihrer Daten kaufen. (Bild: Bleepingcomputer.com)

Krypto-Trojaner Locky: Mehr als 5.000 Infektionen pro Stunde in Deutschland

Über eine Tor-Seite können Nutzer den Schlüssel zur Freigabe ihrer Daten kaufen.
Über eine Tor-Seite können Nutzer den Schlüssel zur Freigabe ihrer Daten kaufen. (Bild: Bleepingcomputer.com)

Selbst ein Fraunhofer-Institut ist betroffen: Die neue Ransomware Locky infiziert in großem Stil Rechner weltweit. Der Trojaner verfügt sogar über eine deutsche Sprachversion.

Nach Angaben von Sicherheitsexperten hat sich in den vergangenen Tagen ein neuer Kryptolocker rasend schnell auf Rechnern in Deutschland und vielen anderen Ländern verbreitet. Es handelt sich dabei um die Ransomware Locky, die Daten auf infizierten Computern verschlüsselt und erst nach Zahlung eines "Lösegeldes" wieder freigibt. Der britische Sicherheitsexperte Kevin Beaumont will den Datenverkehr der Trojaner mit einem Command-and-Control-Server mitverfolgt und bis zu fünf neue Infektionen pro Sekunde gezählt haben. Allein für Deutschland habe er zeitweise mehr als 5.000 Neuinfektionen pro Stunde registriert.

Anzeige

Nach Angaben von Beaumont werden die Rechner über Word-Dokumente infiziert. Das schädliche Makro befindet sich in angeblichen Rechnungen. Besonders perfide: Der vermeintliche Inhalt wird als Buchstabensalat angezeigt, dem die Aufforderung vorangestellt ist: "Bitte Makros aktivieren, wenn die Datencodierung falsch ist." Das Makro lädt dann den eigentlichen Trojaner ladybi.exe herunter, der anschließend die Dokumente in hash.locky-Dateien verschlüsselt, den Bildschirmhintergrund ändert sowie weitere Dateien herunterlädt und öffnet.

Einem Bericht von Bleeping Computer zufolge erreicht der Trojaner sogar Netzlaufwerke, die zum Zeitpunkt der Infektion nicht mit dem lokalen Laufwerk gemapped sind. Nach Angaben des luxemburgischen CERT wird der Trojaner auch über Excel-Dateien verbreitet. In einer halben Stunde seien 500 infizierte Mails in einer Honeypot-Domain angekommen.

Fraunhofer-Institut betroffen

Falls die betroffenen Nutzer keine Backups haben und die Daten wieder freibekommen wollen, werden sie auf eine Tor-Seite zur Entschlüsselung geleitet. Dort erscheint dann der Bitcoin-Betrag, mit dem ein Schlüssel zur Wiederherstellung der Daten gekauft werden kann. Laut Virus Total wird inzwischen der Trojaner von den meisten Anti-Virus-Programmen erkannt. Nach Ansicht Beaumonts handelt es sich bei der Attacke um ein "kriminelles Meisterstück". Er rechnet mit mehreren Hunderttausend infizierten Rechnern weltweit. Die Tatsache, dass die Schadsoftware in viele Sprachen übersetzt worden sei, deute auf eine gute Planung hin. Selbst die darin angegebenen Wikipedia-Artikel zu den Verschlüsselungsverfahren sind auf die jeweilige Landesversion angepasst.

Betroffen in Deutschland war unter anderem das Fraunhofer-Institut in Bayreuth. Locky habe am Mittwochnachmittag die Daten auf einem zentralen Computer verschlüsselt und damit unbrauchbar gemacht, sagte Sprecher Fred Nemitz der Nachrichtenagentur dpa. Betroffen von dem Ausfall seien etwa 60 PC-Arbeitsplätze gewesen, die mit dem infizierten Server verbunden gewesen seien.

IT-Spezialisten hätten auch am Donnerstag noch daran gearbeitet, den Trojaner zu entfernen. Wie lange dies dauern werde, sei derzeit noch nicht absehbar. Die beschädigten Daten sollen danach aus einer Sicherungsdatei wiederhergestellt werden, sagte eine IT-Expertin der Fraunhofer-Projektgruppe Regenerative Produktion. Wahrscheinlich sei die Schadsoftware über einen der PC-Arbeitsplätze ins Netzwerk des Instituts gelangt und habe sich dann selbstständig weiterkopiert.

Der Vorfall macht deutlich, dass offenbar immer noch viele Nutzer unbedarft auf Anhänge in Mails unbekannter Absender klicken. Ebenfalls scheinen viele Word-Nutzer die Makrosicherheit nicht hoch genug eingestellt zu haben. Zudem empfiehlt es sich offenbar, Backup-Geräte physisch vom Rechner zu trennen.

Nachtrag vom 19. Februar 2016, 20:28 Uhr

Wie das Sicherheitsunternehmen Kaspersky berichtet, verbreitet sich das Erpresserprogramm nicht nur über infizierte E-Mails. "Zudem haben wir auch einige legitime Websites entdeckt, auf denen die Locky-Schadsoftware platziert wird. Besucht ein Nutzer - mit entsprechenden Software-Schwachstellen auf seinem Rechner - eine solche Seite, versucht sich Locky automatisch auf diesem Rechner zu installieren", teilte das Unternehmen am Freitag mit.

Nach Angaben eines Golem.de-Lesers lädt die infizierte Excel-Version das Programm eiasus.exe nach. Auch dieses befinde sich im Verzeichnis C:\Users\USERNAME\AppData\Local\Temp.


eye home zur Startseite
neocron 25. Feb 2016

das kommt ganz auf den Inhalt an ... moechte man groesstmoegliche Kompatibilitaet und...

Oliver:Ess 24. Feb 2016

Ja kommt vor. Im Fall des Locky Trojaners allerdings, verbreitet sich der Schädling über...

Moe479 24. Feb 2016

Na dann sollte es auch ein Shellscript nicht dürfen, dass kann genauso gut im Anhang...

Moe479 24. Feb 2016

Na dann ... entlasse mal einfach den Vorgesetzten / Geschäftsfüher / Vorstandsmitglied...

schily 23. Feb 2016

Die Fraunhofer Gesellschaft ist eine Vereinigung von zur Zeit 67 Instituten. Das Institut...

Kommentieren



Anzeige

  1. SAP-Entwickler/in Energiewirtschaft (Inhouse)
    Energie Südbayern GmbH, München
  2. Inhouse Consultant SAP CRM (m/w)
    WAGO Kontakttechnik GmbH & Co. KG, Minden-Päpinghausen
  3. Software Testingenieur (m/w) Fahrerassistenzsysteme
    Continental AG, Lindau
  4. Solution Architect/Lösungsarchit- ekt (m/w)
    BCT Technology AG, Willstätt

Detailsuche



Anzeige
Blu-ray-Angebote
  1. NEU: 3 Blu-rays für 18 EUR
    (u. a. Rache für Jesse James, Runaway, The Wanderers)
  2. 3 Blu-rays für 20 EUR
    (u. a. Spaceballs, Anastasia, Bullitt, Over the top, Space Jam)
  3. VORBESTELLBAR: X-Men Apocalypse [Blu-ray]
    19,99€ (Vorbesteller-Preisgarantie)

Weitere Angebote


Folgen Sie uns
       


  1. Kickstarter

    Pebble Core als GPS-Anhänger für Hacker und Sportler

  2. Virtual Reality

    Facebook kauft Two Big Ears für 360-Grad-Sound

  3. Wirtschaftsminister Olaf Lies

    Beirat der Bundesnetzagentur gegen exklusives Vectoring

  4. Smartphone-Betriebssystem

    Microsoft verliert stark gegenüber Google und Apple

  5. Onlinehandel

    Amazon startet eigenen Paketdienst in Berlin

  6. Pastejacking im Browser

    Codeausführung per Copy and Paste

  7. Manuela Schwesig

    Familienministerin will den Jugendschutz im Netz neu regeln

  8. Intels Compute Stick im Test

    Der mit dem Lüfter streamt (2)

  9. Google Chrome für zSpace

    Augmented-Reality-Version des Browsers kommt noch 2016

  10. Medizin

    Tricorderartiger Sensor erfasst Vitaldaten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Business-Notebooks im Überblick: Voll ausgestattet, dockingtauglich und trotzdem klein
Business-Notebooks im Überblick
Voll ausgestattet, dockingtauglich und trotzdem klein
  1. Elitebook 1030 G1 HPs Core-M-Notebook soll 13 Stunden durchhalten
  2. Windows 7 und 8.1 Microsoft verlängert den Skylake-Support
  3. Intel Authenticate Fingerabdruck und Bluetooth-Smartphone entsperren PC

Unternehmens-IT: Von Kabelsalat und längst überfälligen Upgrades
Unternehmens-IT
Von Kabelsalat und längst überfälligen Upgrades
  1. Revive Update hebelt Oculus VRs Kopierschutz aus
  2. LizardFS Software-defined Storage, wie es sein soll
  3. HPE Hyper Converged 380 Kleines System für das schnelle Erstellen von VMs

Googles Neuvorstellungen: Alles nur geklaut?
Googles Neuvorstellungen
Alles nur geklaut?
  1. Google I/O Android Auto wird eine eigenständige App
  2. Jacquard und Soli Google bringt smarte Jacke und verbessert Radar-Chip
  3. Modulares Smartphone Project Ara soll 2017 kommen - nur noch teilweise modular

  1. Re: War zu erwarten....-die Meldung.

    neocron | 17:43

  2. Re: nicht aufgeben

    DeathMD | 17:43

  3. Re: Auf Deutsch: Staustrahltriebwerk

    JouMxyzptlk | 17:43

  4. Re: Microsoft hat zwei Fehler gemacht

    nolonar | 17:42

  5. Re: erhöhter Stromverbrauch

    aPollO2k | 17:41


  1. 17:17

  2. 17:03

  3. 16:58

  4. 14:57

  5. 14:31

  6. 13:45

  7. 12:33

  8. 12:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel