• IT-Karriere:
  • Services:

Botnet: Necurs kommt zurück und bringt Locky millionenfach mit

Locky ist zurück. Vor wenigen Wochen war mit dem zugehörigen Botnetz auch die Infrastruktur der Ransomware verschwunden. Die Kriminellen haben der Ransomware zudem neue Funktionen zur Verschleierung hinzugefügt.

Artikel veröffentlicht am ,
Der Kryptotrojaner Locky ist zurück.
Der Kryptotrojaner Locky ist zurück. (Bild: Jack Guez/Getty Images)

Das von Kriminellen zum Versand von Spam und zur Verbreitung von Malware genutzte Botnetz Necurs ist nach einigen Wochen der Inaktivitiät offenbar wieder aktiv. Auch die Infektionen mit dem Kryptotrojaner Locky steigen derzeit wieder an, wie Sicherheitsfirmen berichten.

Stellenmarkt
  1. über duerenhoff GmbH, München
  2. Hays AG, Niedersachsen

Die neuen Locky-Versionen setzen demnach auf neue Technologien, um eine Entdeckung durch Antivirenprogramme zu erschweren. Am 21. Juni wurden den Forschern von Proofpoint zufolge erstmals wieder zahlreiche Mails mit Locky-Anhang verschickt, insgesamt sollen mehrere Millionen Mails mit dem Anhang verschickt worden sein.

Locky setzt nicht mehr nur auf infizierte Word-Dokumente mit Macros, sondern führt den Schadcode über den Windows-Scripting-Host aus, dieser kann von Nutzern deaktiviert werden. Der Anhang der Datei ist .zip, per Social Engineering können unerfahrene Nutzer dennoch dazu bewegt werden, den Anhang zu öffnen. Die Mails sind entweder als Bewerbungen oder als Rechnung, zum Beispiel mit dem Betreff "Letzte Mahnung", versehen.

Locky kann jetzt virtuelle Maschinen erkennen

Locky versucht, zu erkennen, ob der Code in einer virtuellen Maschine ausgeführt wird, wie sie von vielen Antivirenprogrammen eingesetzt wird. Dazu wird berechnet, wie viele CPU-Zyklen gebraucht werden, um bestimmte Windows APIs auszuführen. Durch die Virtualisierung werden mehr Zyklen benötigt, dies kann von den Malware-Autoren ausgenutzt werden.

Der Code ist darüber hinaus obfuskiert und muss mit dem Argument 123 geladen werden. Ohne diese Information kann der Code von Virenscannern nicht vollständig analysiert werden. Proofpoint weist daraufhin, dass das Aussendevolumen bislang nur rund 10 Prozent der ursprünglichen Höchstwerte erreicht hat. Im Blogpost des Unternehmens finden sich detaillierte Angaben zu den Indicators of Compromise, die sich auch für Filterregeln als nützlich erweisen könnten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. Asus Rog Strix X570-F + Ryzen 7 3700X für 555,00€, Asus Tuf B450-Plus + Ryzen 7 2700 für...

Bleistiftspitze 02. Jul 2016

Es interessiert nicht die Bohne ob die Rechner durchlaufen. Wenn genügend PCs infiziert...

chefin 27. Jun 2016

Und man braucht pro Mail dann statt 10 Sec ungefähr 5 Minuten zum analysieren, sowie mtl...

hg (Golem.de) 27. Jun 2016

Danke, ich fixe das.

Auspuffanlage 25. Jun 2016

Hab ich mich auch gefragt aber meinen die vielleicht CPI? Für die anderen es gibt...


Folgen Sie uns
       


Oneplus 7T - Fazit

Das Oneplus 7T ist der Nachfolger des Oneplus 7 - und hat einige interessante Hardware-Upgrades bekommen. Im Test von Golem.de schneidet das Smartphone entsprechend gut ab.

Oneplus 7T - Fazit Video aufrufen
Autonomes Fahren: Wenn der Wagen das Volk nicht versteht
Autonomes Fahren
Wenn der Wagen das Volk nicht versteht

VW testet in Hamburg das vollautonome Fahren in der Stadt - und das recht erfolgreich, wie eine Probefahrt zeigt. Als größtes Problem erweist sich ausgerechnet die Höflichkeit der Fußgänger.
Ein Bericht von Werner Pluta

  1. Volkswagen ID. Space Vizzion als Elektrokombi vorgestellt
  2. Elektroauto von VW Es hat sich bald ausgegolft
  3. ID.3 kommt Volkswagen verkauft den E-Golf zum Schnäppchenpreis

Need for Speed Heat im Test: Temporausch bei Tag und Nacht
Need for Speed Heat im Test
Temporausch bei Tag und Nacht

Extrem schnelle Verfolgungsjagden, eine offene Welt und viel Abwechslung dank Tag- und Nachtmodus: Mit dem Arcade-Rennspiel Heat hat Electronic Arts das beste Need for Speed seit langem veröffentlicht. Und das sogar ohne Mikrotransaktionen!
Von Peter Steinlechner

  1. Electronic Arts Need for Speed Heat saust durch Miami

Nitrokey und Somu im Test: Zwei Fido-Sticks für alle Fälle
Nitrokey und Somu im Test
Zwei Fido-Sticks für alle Fälle

Sie sind winzig und groß, sorgen für mehr Sicherheit bei der Anmeldung per Webauthn und können gepatcht werden: Die in Kürze erscheinenden Fido-Sticks von Nitrokey und Solokeys machen so manches besser als die Konkurrenz von Google und Yubico. Golem.de konnte bereits vorab zwei Prototypen testen.
Ein Test von Moritz Tremmel

  1. iOS 13 iPhone bekommt Webauthn per NFC
  2. Webauthn unter Android ausprobiert Dropbox kann, was andere nicht können

    •  /