Abo
  • Services:
Anzeige
Über eine Tor-Seite können Nutzer den Schlüssel zur Freigabe ihrer Daten kaufen.
Über eine Tor-Seite können Nutzer den Schlüssel zur Freigabe ihrer Daten kaufen. (Bild: Bleepingcomputer.com)

Krypto-Trojaner Locky: Mehr als 5.000 Infektionen pro Stunde in Deutschland

Über eine Tor-Seite können Nutzer den Schlüssel zur Freigabe ihrer Daten kaufen.
Über eine Tor-Seite können Nutzer den Schlüssel zur Freigabe ihrer Daten kaufen. (Bild: Bleepingcomputer.com)

Selbst ein Fraunhofer-Institut ist betroffen: Die neue Ransomware Locky infiziert in großem Stil Rechner weltweit. Der Trojaner verfügt sogar über eine deutsche Sprachversion.

Nach Angaben von Sicherheitsexperten hat sich in den vergangenen Tagen ein neuer Kryptolocker rasend schnell auf Rechnern in Deutschland und vielen anderen Ländern verbreitet. Es handelt sich dabei um die Ransomware Locky, die Daten auf infizierten Computern verschlüsselt und erst nach Zahlung eines "Lösegeldes" wieder freigibt. Der britische Sicherheitsexperte Kevin Beaumont will den Datenverkehr der Trojaner mit einem Command-and-Control-Server mitverfolgt und bis zu fünf neue Infektionen pro Sekunde gezählt haben. Allein für Deutschland habe er zeitweise mehr als 5.000 Neuinfektionen pro Stunde registriert.

Anzeige

Nach Angaben von Beaumont werden die Rechner über Word-Dokumente infiziert. Das schädliche Makro befindet sich in angeblichen Rechnungen. Besonders perfide: Der vermeintliche Inhalt wird als Buchstabensalat angezeigt, dem die Aufforderung vorangestellt ist: "Bitte Makros aktivieren, wenn die Datencodierung falsch ist." Das Makro lädt dann den eigentlichen Trojaner ladybi.exe herunter, der anschließend die Dokumente in hash.locky-Dateien verschlüsselt, den Bildschirmhintergrund ändert sowie weitere Dateien herunterlädt und öffnet.

Einem Bericht von Bleeping Computer zufolge erreicht der Trojaner sogar Netzlaufwerke, die zum Zeitpunkt der Infektion nicht mit dem lokalen Laufwerk gemapped sind. Nach Angaben des luxemburgischen CERT wird der Trojaner auch über Excel-Dateien verbreitet. In einer halben Stunde seien 500 infizierte Mails in einer Honeypot-Domain angekommen.

Fraunhofer-Institut betroffen

Falls die betroffenen Nutzer keine Backups haben und die Daten wieder freibekommen wollen, werden sie auf eine Tor-Seite zur Entschlüsselung geleitet. Dort erscheint dann der Bitcoin-Betrag, mit dem ein Schlüssel zur Wiederherstellung der Daten gekauft werden kann. Laut Virus Total wird inzwischen der Trojaner von den meisten Anti-Virus-Programmen erkannt. Nach Ansicht Beaumonts handelt es sich bei der Attacke um ein "kriminelles Meisterstück". Er rechnet mit mehreren Hunderttausend infizierten Rechnern weltweit. Die Tatsache, dass die Schadsoftware in viele Sprachen übersetzt worden sei, deute auf eine gute Planung hin. Selbst die darin angegebenen Wikipedia-Artikel zu den Verschlüsselungsverfahren sind auf die jeweilige Landesversion angepasst.

Betroffen in Deutschland war unter anderem das Fraunhofer-Institut in Bayreuth. Locky habe am Mittwochnachmittag die Daten auf einem zentralen Computer verschlüsselt und damit unbrauchbar gemacht, sagte Sprecher Fred Nemitz der Nachrichtenagentur dpa. Betroffen von dem Ausfall seien etwa 60 PC-Arbeitsplätze gewesen, die mit dem infizierten Server verbunden gewesen seien.

IT-Spezialisten hätten auch am Donnerstag noch daran gearbeitet, den Trojaner zu entfernen. Wie lange dies dauern werde, sei derzeit noch nicht absehbar. Die beschädigten Daten sollen danach aus einer Sicherungsdatei wiederhergestellt werden, sagte eine IT-Expertin der Fraunhofer-Projektgruppe Regenerative Produktion. Wahrscheinlich sei die Schadsoftware über einen der PC-Arbeitsplätze ins Netzwerk des Instituts gelangt und habe sich dann selbstständig weiterkopiert.

Der Vorfall macht deutlich, dass offenbar immer noch viele Nutzer unbedarft auf Anhänge in Mails unbekannter Absender klicken. Ebenfalls scheinen viele Word-Nutzer die Makrosicherheit nicht hoch genug eingestellt zu haben. Zudem empfiehlt es sich offenbar, Backup-Geräte physisch vom Rechner zu trennen.

Nachtrag vom 19. Februar 2016, 20:28 Uhr

Wie das Sicherheitsunternehmen Kaspersky berichtet, verbreitet sich das Erpresserprogramm nicht nur über infizierte E-Mails. "Zudem haben wir auch einige legitime Websites entdeckt, auf denen die Locky-Schadsoftware platziert wird. Besucht ein Nutzer - mit entsprechenden Software-Schwachstellen auf seinem Rechner - eine solche Seite, versucht sich Locky automatisch auf diesem Rechner zu installieren", teilte das Unternehmen am Freitag mit.

Nach Angaben eines Golem.de-Lesers lädt die infizierte Excel-Version das Programm eiasus.exe nach. Auch dieses befinde sich im Verzeichnis C:\Users\USERNAME\AppData\Local\Temp.


eye home zur Startseite
neocron 25. Feb 2016

das kommt ganz auf den Inhalt an ... moechte man groesstmoegliche Kompatibilitaet und...

Oliver:Ess 24. Feb 2016

Ja kommt vor. Im Fall des Locky Trojaners allerdings, verbreitet sich der Schädling über...

Moe479 24. Feb 2016

Na dann sollte es auch ein Shellscript nicht dürfen, dass kann genauso gut im Anhang...

Moe479 24. Feb 2016

Na dann ... entlasse mal einfach den Vorgesetzten / Geschäftsfüher / Vorstandsmitglied...

schily 23. Feb 2016

Die Fraunhofer Gesellschaft ist eine Vereinigung von zur Zeit 67 Instituten. Das Institut...



Anzeige

Stellenmarkt
  1. GK Software AG, Schöneck, Berlin, St. Ingbert, Köln und Barsbüttel
  2. T-Systems on site services GmbH, Leinfelden-Echterdingen
  3. Weber Maschinenbau GmbH, Neubrandenburg, Groß Nemerow
  4. SoftwareONE Deutschland GmbH, deutschlandweit


Anzeige
Hardware-Angebote
  1. 308,95€ (Bestpreis)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Mehr dazu im aktuellen Whitepaper von Bitdefender
  3. Sicherheitskonzeption für das App-getriebene Geschäft


  1. Ausfall

    Störung im Netz von Netcologne

  2. Cinema 3D

    Das MIT arbeitet an 3D-Kino ohne Brille

  3. AVM

    Hersteller für volle Routerfreiheit bei Glasfaser und Kabel

  4. Hearthstone

    Blizzard feiert eine Nacht in Karazhan

  5. Gmane

    Wichtiges Mailing-Listen-Archiv offline

  6. Olympia

    Kann der Hashtag #Rio2016 verboten werden?

  7. Containerverwaltung

    Docker für Mac und Windows ist einsatzbereit

  8. Drosselung

    Telekom schafft wegen intensiver Nutzung Spotify-Option ab

  9. Quantenkrytographie

    Chinas erster Schritt zur Quantenkommunikation per Satellit

  10. Sony

    Absatz der Playstation 4 weiter stark



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Core i7-6820HK: Das bringt CPU-Overclocking im Notebook
Core i7-6820HK
Das bringt CPU-Overclocking im Notebook
  1. Stresstest Futuremarks 3DMark testet Hardware auf Throttling

Geforce GTX 1060 im Test: Knapper Konter
Geforce GTX 1060 im Test
Knapper Konter
  1. Quadro P6000/P5000 Nvidia kündigt Profi-Karten mit GP102-Vollausbau an
  2. Grafikkarte Nvidia bringt neue Titan X mit GP102-Chip für 1200 US-Dollar
  3. Notebooks Nvidia bringt Pascal-Grafikchips für Mobile im August

Pokémon Go im Test: Hype in der Großstadt, Flaute auf dem Land
Pokémon Go im Test
Hype in der Großstadt, Flaute auf dem Land
  1. Pokémon Go Pikachu versus Bundeswehr
  2. Nintendo Gewinn steigt durch Pokémon Go kaum an
  3. Pokémon Go Monsterjagd im Heimatland

  1. Re: Klar kann #Rio2016 verboten werden!

    Hanmac | 03:46

  2. Re: Wo ist der Haken?

    Funnyzocker | 03:31

  3. Re: Laut Winfuture wollen die sogar das Wort...

    Schläfer | 03:05

  4. Re: optische Täuschung

    Baladur | 02:59

  5. Re: Gut das ich das updatesystem "deinstalliert...

    AnonymerHH | 02:30


  1. 18:21

  2. 18:05

  3. 17:23

  4. 17:04

  5. 16:18

  6. 14:28

  7. 13:00

  8. 12:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel