Abo
  • Services:
Anzeige
Der Kryptotrojaner Locky ist zurück.
Der Kryptotrojaner Locky ist zurück. (Bild: Jack Guez/Getty Images)

Botnet: Necurs kommt zurück und bringt Locky millionenfach mit

Der Kryptotrojaner Locky ist zurück.
Der Kryptotrojaner Locky ist zurück. (Bild: Jack Guez/Getty Images)

Locky ist zurück. Vor wenigen Wochen war mit dem zugehörigen Botnetz auch die Infrastruktur der Ransomware verschwunden. Die Kriminellen haben der Ransomware zudem neue Funktionen zur Verschleierung hinzugefügt.

Das von Kriminellen zum Versand von Spam und zur Verbreitung von Malware genutzte Botnetz Necurs ist nach einigen Wochen der Inaktivitiät offenbar wieder aktiv. Auch die Infektionen mit dem Kryptotrojaner Locky steigen derzeit wieder an, wie Sicherheitsfirmen berichten.

Anzeige

Die neuen Locky-Versionen setzen demnach auf neue Technologien, um eine Entdeckung durch Antivirenprogramme zu erschweren. Am 21. Juni wurden den Forschern von Proofpoint zufolge erstmals wieder zahlreiche Mails mit Locky-Anhang verschickt, insgesamt sollen mehrere Millionen Mails mit dem Anhang verschickt worden sein.

Locky setzt nicht mehr nur auf infizierte Word-Dokumente mit Macros, sondern führt den Schadcode über den Windows-Scripting-Host aus, dieser kann von Nutzern deaktiviert werden. Der Anhang der Datei ist .zip, per Social Engineering können unerfahrene Nutzer dennoch dazu bewegt werden, den Anhang zu öffnen. Die Mails sind entweder als Bewerbungen oder als Rechnung, zum Beispiel mit dem Betreff "Letzte Mahnung", versehen.

Locky kann jetzt virtuelle Maschinen erkennen

Locky versucht, zu erkennen, ob der Code in einer virtuellen Maschine ausgeführt wird, wie sie von vielen Antivirenprogrammen eingesetzt wird. Dazu wird berechnet, wie viele CPU-Zyklen gebraucht werden, um bestimmte Windows APIs auszuführen. Durch die Virtualisierung werden mehr Zyklen benötigt, dies kann von den Malware-Autoren ausgenutzt werden.

Der Code ist darüber hinaus obfuskiert und muss mit dem Argument 123 geladen werden. Ohne diese Information kann der Code von Virenscannern nicht vollständig analysiert werden. Proofpoint weist daraufhin, dass das Aussendevolumen bislang nur rund 10 Prozent der ursprünglichen Höchstwerte erreicht hat. Im Blogpost des Unternehmens finden sich detaillierte Angaben zu den Indicators of Compromise, die sich auch für Filterregeln als nützlich erweisen könnten.


eye home zur Startseite
Bleistiftspitze 02. Jul 2016

Es interessiert nicht die Bohne ob die Rechner durchlaufen. Wenn genügend PCs infiziert...

chefin 27. Jun 2016

Und man braucht pro Mail dann statt 10 Sec ungefähr 5 Minuten zum analysieren, sowie mtl...

hg (Golem.de) 27. Jun 2016

Danke, ich fixe das.

Auspuffanlage 25. Jun 2016

Hab ich mich auch gefragt aber meinen die vielleicht CPI? Für die anderen es gibt...



Anzeige

Stellenmarkt
  1. Daimler AG, Stuttgart
  2. Landeshauptstadt München, München
  3. ING-DiBa AG, Nürnberg, Frankfurt
  4. Kassenzahnärztliche Vereinigung Bayerns (KZVB), München


Anzeige
Spiele-Angebote
  1. 15,99€
  2. 99,99€ mit Vorbesteller-Preisgarantie
  3. 119,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Nvidia

    Keine Volta-basierten Geforces in 2017

  2. Grafikkarte

    Sonnets eGFX Breakaway Box kostet 330 Euro

  3. E-Commerce

    Kartellamt will Online-Shops des Einzelhandels schützen

  4. id Software

    Quake Champions startet in den Early Access

  5. Betrug

    Verbraucherzentrale warnt vor gefälschten Youporn-Mahnungen

  6. Lenovo

    Smartphone- und Servergeschäft sorgen für Verlust

  7. Open Source Projekt

    Oracle will Java EE abgeben

  8. Apple iPhone 5s

    Hacker veröffentlicht Secure-Enclave-Key für alte iPhones

  9. Forum

    Reddit bietet native Unterstützung von Videos

  10. Biomimetik

    Drohne landet kontrolliert an senkrechter Wand



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Threadripper 1950X und 1920X im Test: AMD hat die schnellste Desktop-CPU
Threadripper 1950X und 1920X im Test
AMD hat die schnellste Desktop-CPU
  1. Ryzen AMD bestätigt Compiler-Fehler unter Linux
  2. CPU Achtkerniger Threadripper erscheint Ende August
  3. Ryzen 3 1300X und 1200 im Test Harte Gegner für Intels Core i3

Sysadmin Day 2017: Zum Admin-Sein fehlen mir die Superkräfte
Sysadmin Day 2017
Zum Admin-Sein fehlen mir die Superkräfte

Orange Pi 2G IoT ausprobiert: Wir bauen uns ein 20-Euro-Smartphone
Orange Pi 2G IoT ausprobiert
Wir bauen uns ein 20-Euro-Smartphone
  1. Odroid HC-1 Bastelrechner besser stapeln im NAS
  2. Bastelrechner Nano Pi im Test Klein, aber nicht unbedingt oho

  1. Re: K.O.-Kriterium Tastatur

    EQuatschBob | 18:16

  2. Re: "Terroranschlag"

    plutoniumsulfat | 18:15

  3. Wie stabil sind diese Klapp-Ethernet-Buchsen?

    EQuatschBob | 18:13

  4. Re: Auswahl SOC *Kopfschüttel*

    Topf | 18:08

  5. Re: IMHO KervyN an Oracle abgeben...

    Plasma | 18:04


  1. 17:56

  2. 16:20

  3. 15:30

  4. 15:07

  5. 14:54

  6. 13:48

  7. 13:15

  8. 12:55


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel