Abo
  • Services:
Anzeige
Der Kryptotrojaner Locky ist zurück.
Der Kryptotrojaner Locky ist zurück. (Bild: Jack Guez/Getty Images)

Botnet: Necurs kommt zurück und bringt Locky millionenfach mit

Der Kryptotrojaner Locky ist zurück.
Der Kryptotrojaner Locky ist zurück. (Bild: Jack Guez/Getty Images)

Locky ist zurück. Vor wenigen Wochen war mit dem zugehörigen Botnetz auch die Infrastruktur der Ransomware verschwunden. Die Kriminellen haben der Ransomware zudem neue Funktionen zur Verschleierung hinzugefügt.

Das von Kriminellen zum Versand von Spam und zur Verbreitung von Malware genutzte Botnetz Necurs ist nach einigen Wochen der Inaktivitiät offenbar wieder aktiv. Auch die Infektionen mit dem Kryptotrojaner Locky steigen derzeit wieder an, wie Sicherheitsfirmen berichten.

Anzeige

Die neuen Locky-Versionen setzen demnach auf neue Technologien, um eine Entdeckung durch Antivirenprogramme zu erschweren. Am 21. Juni wurden den Forschern von Proofpoint zufolge erstmals wieder zahlreiche Mails mit Locky-Anhang verschickt, insgesamt sollen mehrere Millionen Mails mit dem Anhang verschickt worden sein.

Locky setzt nicht mehr nur auf infizierte Word-Dokumente mit Macros, sondern führt den Schadcode über den Windows-Scripting-Host aus, dieser kann von Nutzern deaktiviert werden. Der Anhang der Datei ist .zip, per Social Engineering können unerfahrene Nutzer dennoch dazu bewegt werden, den Anhang zu öffnen. Die Mails sind entweder als Bewerbungen oder als Rechnung, zum Beispiel mit dem Betreff "Letzte Mahnung", versehen.

Locky kann jetzt virtuelle Maschinen erkennen

Locky versucht, zu erkennen, ob der Code in einer virtuellen Maschine ausgeführt wird, wie sie von vielen Antivirenprogrammen eingesetzt wird. Dazu wird berechnet, wie viele CPU-Zyklen gebraucht werden, um bestimmte Windows APIs auszuführen. Durch die Virtualisierung werden mehr Zyklen benötigt, dies kann von den Malware-Autoren ausgenutzt werden.

Der Code ist darüber hinaus obfuskiert und muss mit dem Argument 123 geladen werden. Ohne diese Information kann der Code von Virenscannern nicht vollständig analysiert werden. Proofpoint weist daraufhin, dass das Aussendevolumen bislang nur rund 10 Prozent der ursprünglichen Höchstwerte erreicht hat. Im Blogpost des Unternehmens finden sich detaillierte Angaben zu den Indicators of Compromise, die sich auch für Filterregeln als nützlich erweisen könnten.


eye home zur Startseite
Bleistiftspitze 02. Jul 2016

Es interessiert nicht die Bohne ob die Rechner durchlaufen. Wenn genügend PCs infiziert...

chefin 27. Jun 2016

Und man braucht pro Mail dann statt 10 Sec ungefähr 5 Minuten zum analysieren, sowie mtl...

hg (Golem.de) 27. Jun 2016

Danke, ich fixe das.

Auspuffanlage 25. Jun 2016

Hab ich mich auch gefragt aber meinen die vielleicht CPI? Für die anderen es gibt...



Anzeige

Stellenmarkt
  1. Techniker Krankenkasse, Hamburg
  2. ETAS GmbH, Stuttgart
  3. ESG Elektroniksystem- und Logistik-GmbH, Donauwörth
  4. Deutscher Genossenschafts-Verlag eG, Wiesbaden


Anzeige
Top-Angebote
  1. 359,00€ statt 570,00€
  2. Alte PS4 inkl. Controller + 2 Spiele + 99,99€ = PlayStation 4 Pro (1TB) | +++ACHTUNG+++ Man kann...
  3. 13,99€

Folgen Sie uns
       


  1. HP, Philips, Fujitsu

    Bloatware auf Millionen Notebooks ermöglicht Codeausführung

  2. Mali-C71

    ARM bringt seinen ersten ISP für Automotive

  3. SUNET

    Forschungsnetz erhält 100 GBit/s und ROADM-Technologie

  4. Cisco

    Kontrollzentrum verwaltet Smartphones im Unternehmen

  5. Datenschutz

    Facebook erhält weiterhin keine Whatsapp-Daten

  6. FTTH

    Telekom will mehr Kooperationen für echte Glasfaser

  7. Open Data

    OKFN will deutsche Wetterdaten befreien

  8. Spectrum Next

    Voll kompatible Neuauflage des ZX Spectrum ist finanziert

  9. OmniOS

    Freier Solaris-Nachfolger steht vor dem Ende

  10. Cybercrime

    Computerkriminalität nimmt statistisch gesehen zu



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Quantenphysik: Im Kleinen spielt das Universum verrückt
Quantenphysik
Im Kleinen spielt das Universum verrückt

Radeon RX 580 und RX 570 im Test: AMDs Grafikkarten sind schneller und sparsamer
Radeon RX 580 und RX 570 im Test
AMDs Grafikkarten sind schneller und sparsamer
  1. Radeon Pro Duo AMD bringt Profi-Grafikkarte mit zwei Polaris-Chips
  2. Grafikkarten AMD bringt vier neue alte Radeons für Komplett-PCs
  3. Grafikkarten AMD stellt Radeon RX 560 und Radeon RX 550 vor

Hate-Speech-Gesetz: Regierung kennt keine einzige strafbare Falschnachricht
Hate-Speech-Gesetz
Regierung kennt keine einzige strafbare Falschnachricht
  1. Neurowissenschaft Facebook erforscht Gedanken-Postings
  2. Rundumvideo Facebooks 360-Grad-Ballkamera nimmt Tiefeninformationen auf
  3. Spaces Facebook stellt Beta seiner Virtual-Reality-Welt vor

  1. Alles immer "Advanced..."

    thomas001le | 22:32

  2. Re: "Bereitschaft, die Netze freiwillig zu...

    M.P. | 22:29

  3. Re: Bis zu ist doch richtig, jeder...

    plutoniumsulfat | 22:29

  4. Re: Zustimmung!

    ShaDdoW_EyE | 22:26

  5. Was heißt da kompatibel?

    daydreamer42 | 22:15


  1. 19:00

  2. 18:44

  3. 18:14

  4. 17:47

  5. 16:19

  6. 16:02

  7. 15:40

  8. 14:51


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel