Abo
  • Services:
Anzeige
Der Kryptotrojaner Locky ist zurück.
Der Kryptotrojaner Locky ist zurück. (Bild: Jack Guez/Getty Images)

Botnet: Necurs kommt zurück und bringt Locky millionenfach mit

Der Kryptotrojaner Locky ist zurück.
Der Kryptotrojaner Locky ist zurück. (Bild: Jack Guez/Getty Images)

Locky ist zurück. Vor wenigen Wochen war mit dem zugehörigen Botnetz auch die Infrastruktur der Ransomware verschwunden. Die Kriminellen haben der Ransomware zudem neue Funktionen zur Verschleierung hinzugefügt.

Das von Kriminellen zum Versand von Spam und zur Verbreitung von Malware genutzte Botnetz Necurs ist nach einigen Wochen der Inaktivitiät offenbar wieder aktiv. Auch die Infektionen mit dem Kryptotrojaner Locky steigen derzeit wieder an, wie Sicherheitsfirmen berichten.

Anzeige

Die neuen Locky-Versionen setzen demnach auf neue Technologien, um eine Entdeckung durch Antivirenprogramme zu erschweren. Am 21. Juni wurden den Forschern von Proofpoint zufolge erstmals wieder zahlreiche Mails mit Locky-Anhang verschickt, insgesamt sollen mehrere Millionen Mails mit dem Anhang verschickt worden sein.

Locky setzt nicht mehr nur auf infizierte Word-Dokumente mit Macros, sondern führt den Schadcode über den Windows-Scripting-Host aus, dieser kann von Nutzern deaktiviert werden. Der Anhang der Datei ist .zip, per Social Engineering können unerfahrene Nutzer dennoch dazu bewegt werden, den Anhang zu öffnen. Die Mails sind entweder als Bewerbungen oder als Rechnung, zum Beispiel mit dem Betreff "Letzte Mahnung", versehen.

Locky kann jetzt virtuelle Maschinen erkennen

Locky versucht, zu erkennen, ob der Code in einer virtuellen Maschine ausgeführt wird, wie sie von vielen Antivirenprogrammen eingesetzt wird. Dazu wird berechnet, wie viele CPU-Zyklen gebraucht werden, um bestimmte Windows APIs auszuführen. Durch die Virtualisierung werden mehr Zyklen benötigt, dies kann von den Malware-Autoren ausgenutzt werden.

Der Code ist darüber hinaus obfuskiert und muss mit dem Argument 123 geladen werden. Ohne diese Information kann der Code von Virenscannern nicht vollständig analysiert werden. Proofpoint weist daraufhin, dass das Aussendevolumen bislang nur rund 10 Prozent der ursprünglichen Höchstwerte erreicht hat. Im Blogpost des Unternehmens finden sich detaillierte Angaben zu den Indicators of Compromise, die sich auch für Filterregeln als nützlich erweisen könnten.


eye home zur Startseite
Bleistiftspitze 02. Jul 2016

Es interessiert nicht die Bohne ob die Rechner durchlaufen. Wenn genügend PCs infiziert...

chefin 27. Jun 2016

Und man braucht pro Mail dann statt 10 Sec ungefähr 5 Minuten zum analysieren, sowie mtl...

hg (Golem.de) 27. Jun 2016

Danke, ich fixe das.

Auspuffanlage 25. Jun 2016

Hab ich mich auch gefragt aber meinen die vielleicht CPI? Für die anderen es gibt...



Anzeige

Stellenmarkt
  1. SGH Service GmbH, Hildesheim
  2. Rohde & Schwarz Cybersecurity GmbH, Leipzig
  3. SICK AG, Reute bei Freiburg im Breisgau
  4. energy & meteo systems GmbH, Oldenburg


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)
  3. 16,99€ (ohne Prime bzw. unter 29€ Einkauf + 3€ Versand)

Folgen Sie uns
       


  1. VLC, Kodi, Popcorn Time

    Mediaplayer können über Untertitel gehackt werden

  2. Engine

    Unity bekommt 400 Millionen US-Dollar Investorengeld

  3. Neuauflage

    Neues Nokia 3310 soll bei Defekt komplett ersetzt werden

  4. Surface Studio

    Microsofts Grafikerstation kommt nach Deutschland

  5. Polar

    Fitnesstracker A370 mit Tiefschlaf- und Pulsmessung

  6. Schutz

    Amazon rechtfertigt Sperrungen von Marketplace-Händlern

  7. CPU-Architektur

    RISC-V-Patches für Linux erstmals eingereicht

  8. FSP Hydro PTM+

    Wassergekühltes PC-Netzteil liefert 1.400 Watt

  9. Matebook X und E im Hands on

    Huawei kann auch Notebooks

  10. Celsius-Workstations

    Fujitsu bringt sichere Notebooks und kabellose Desktops



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  2. Tapdo Das Smart Home mit Fingerabdrücken steuern
  3. Mehr Möbel als Gadget Eine Holzfernbedienung für das Smart Home

Blackberry Keyone im Test: Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
Blackberry Keyone im Test
Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
  1. Blackberry Keyone kommt Mitte Mai
  2. Keyone Blackberrys neues Tastatur-Smartphone kommt später
  3. Blackberry Keyone im Hands on Android-Smartphone mit toller Hardware-Tastatur

  1. Re: 25MBit/s - wann begreifen die endlich, dass...

    bombinho | 21:47

  2. Re: Kann ich mit Alditalk nicht bestätigen

    AllDayPiano | 21:47

  3. Re: 16GB RAM unzeitgemäß

    Bouncy | 21:44

  4. 10 - 20 Gbit und < 1 ms ping

    jo-1 | 21:42

  5. Re: Marketing scheint bei Unity ein besonders...

    Mithrandir | 21:36


  1. 18:58

  2. 18:20

  3. 17:59

  4. 17:44

  5. 17:20

  6. 16:59

  7. 16:30

  8. 15:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel