Abo
  • Services:
Anzeige
Der Kryptotrojaner Locky ist zurück.
Der Kryptotrojaner Locky ist zurück. (Bild: Jack Guez/Getty Images)

Botnet: Necurs kommt zurück und bringt Locky millionenfach mit

Der Kryptotrojaner Locky ist zurück.
Der Kryptotrojaner Locky ist zurück. (Bild: Jack Guez/Getty Images)

Locky ist zurück. Vor wenigen Wochen war mit dem zugehörigen Botnetz auch die Infrastruktur der Ransomware verschwunden. Die Kriminellen haben der Ransomware zudem neue Funktionen zur Verschleierung hinzugefügt.

Das von Kriminellen zum Versand von Spam und zur Verbreitung von Malware genutzte Botnetz Necurs ist nach einigen Wochen der Inaktivitiät offenbar wieder aktiv. Auch die Infektionen mit dem Kryptotrojaner Locky steigen derzeit wieder an, wie Sicherheitsfirmen berichten.

Anzeige

Die neuen Locky-Versionen setzen demnach auf neue Technologien, um eine Entdeckung durch Antivirenprogramme zu erschweren. Am 21. Juni wurden den Forschern von Proofpoint zufolge erstmals wieder zahlreiche Mails mit Locky-Anhang verschickt, insgesamt sollen mehrere Millionen Mails mit dem Anhang verschickt worden sein.

Locky setzt nicht mehr nur auf infizierte Word-Dokumente mit Macros, sondern führt den Schadcode über den Windows-Scripting-Host aus, dieser kann von Nutzern deaktiviert werden. Der Anhang der Datei ist .zip, per Social Engineering können unerfahrene Nutzer dennoch dazu bewegt werden, den Anhang zu öffnen. Die Mails sind entweder als Bewerbungen oder als Rechnung, zum Beispiel mit dem Betreff "Letzte Mahnung", versehen.

Locky kann jetzt virtuelle Maschinen erkennen

Locky versucht, zu erkennen, ob der Code in einer virtuellen Maschine ausgeführt wird, wie sie von vielen Antivirenprogrammen eingesetzt wird. Dazu wird berechnet, wie viele CPU-Zyklen gebraucht werden, um bestimmte Windows APIs auszuführen. Durch die Virtualisierung werden mehr Zyklen benötigt, dies kann von den Malware-Autoren ausgenutzt werden.

Der Code ist darüber hinaus obfuskiert und muss mit dem Argument 123 geladen werden. Ohne diese Information kann der Code von Virenscannern nicht vollständig analysiert werden. Proofpoint weist daraufhin, dass das Aussendevolumen bislang nur rund 10 Prozent der ursprünglichen Höchstwerte erreicht hat. Im Blogpost des Unternehmens finden sich detaillierte Angaben zu den Indicators of Compromise, die sich auch für Filterregeln als nützlich erweisen könnten.


eye home zur Startseite
Bleistiftspitze 02. Jul 2016

Es interessiert nicht die Bohne ob die Rechner durchlaufen. Wenn genügend PCs infiziert...

chefin 27. Jun 2016

Und man braucht pro Mail dann statt 10 Sec ungefähr 5 Minuten zum analysieren, sowie mtl...

hg (Golem.de) 27. Jun 2016

Danke, ich fixe das.

Auspuffanlage 25. Jun 2016

Hab ich mich auch gefragt aber meinen die vielleicht CPI? Für die anderen es gibt...



Anzeige

Stellenmarkt
  1. LogPay Financial Services GmbH, Eschborn
  2. Schwarz Zentrale Dienste KG, Neckarsulm
  3. AEVI International GmbH, Berlin
  4. Robert Bosch GmbH, Stuttgart-Feuerbach


Anzeige
Blu-ray-Angebote
  1. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)

Folgen Sie uns
       


  1. Die Woche im Video

    Schwachstellen, wohin man schaut

  2. UAV

    Matternet startet Drohnenlieferdienst in der Schweiz

  3. Joint Venture

    Microsoft und Facebook verlegen Seekabel mit 160 Terabit/s

  4. Remote Forensics

    BKA kann eigenen Staatstrojaner nicht einsetzen

  5. Datenbank

    Börsengang von MongoDB soll 100 Millionen US-Dollar bringen

  6. NH-L9a-AM4 und NH-L12S

    Noctua bringt Mini-ITX-Kühler für Ryzen

  7. Wegen Lieferproblemen

    Spekulationen über Aus für Opels Elektroauto Ampera-E

  8. Minix

    Fehler in Intel ME ermöglicht Codeausführung

  9. Oracle

    Java SE 9 und Java EE 8 gehen live

  10. Störerhaftung abgeschafft

    Bundesrat stimmt für WLAN-Gesetz mit Netzsperrenanspruch



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Zukunft des Autos: "Unsere Elektrofahrzeuge sollen typische Porsche sein"
Zukunft des Autos
"Unsere Elektrofahrzeuge sollen typische Porsche sein"
  1. Concept EQA Mercedes elektrifiziert die Kompaktklasse
  2. GLC F-Cell Mercedes stellt SUV mit Brennstoffzelle und Akku vor
  3. ID Crozz VW stellt elektrisches Crossover vor

Kein App Store mehr: iOS-Nutzer sollten das neue iTunes nicht installieren
Kein App Store mehr
iOS-Nutzer sollten das neue iTunes nicht installieren
  1. Apple iOS 11 Wer WLAN und Bluetooth abschaltet, benutzt es weiter
  2. Drei Netzanbieter warnt vor Upgrade auf iOS 11
  3. Betriebssystem Apple veröffentlicht Goldmaster für iOS, tvOS und WatchOS

Inspiron 5675 im Test: Dells Ryzen-Gaming-PC reicht mindestens bis 2020
Inspiron 5675 im Test
Dells Ryzen-Gaming-PC reicht mindestens bis 2020
  1. Android 8.0 im Test Fertig oder nicht fertig, das ist hier die Frage
  2. Logitech Powerplay im Test Die niemals leere Funk-Maus
  3. Polar vs. Fitbit Duell der Schlafexperten

  1. Re: Das hängt von Geschwindigkeit und Interface ab

    Ovaron | 09:26

  2. Re: 190.000 Euro sollen an den TÜV für eine...

    User_x | 09:18

  3. Re: Weniger Funktionen in Deutschland

    cyoshi | 09:15

  4. Re: was kostet das? und warum rechnet sich das?

    violator | 09:10

  5. Re: Wahlprogramm Die PARTEI

    quineloe | 09:09


  1. 09:03

  2. 17:43

  3. 17:25

  4. 16:55

  5. 16:39

  6. 16:12

  7. 15:30

  8. 15:06


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel