Erpressungstrojaner: Locky kann jetzt auch offline

Eine neue Version der Locky-Ransomware kann jetzt auch Rechner ohne Internetverbindung verschlüsseln. Die Offline-Variante hat für die Opfer immerhin einen kleinen Vorteil.

Artikel veröffentlicht am ,
Die Erpresserbotschaft des neuen Locky-Trojaners.
Die Erpresserbotschaft des neuen Locky-Trojaners. (Bild: Avira)

Sicherheitsforscher von Avira haben eine neue Version des Erpressungstrojaners Locky entdeckt. Die Variante wurde am 12. Juli erstmals gefunden und enthält einige Änderungen, die es Administratoren schwerer macht, Rechner abzusichern.

Stellenmarkt
  1. Informatiker/in, Informationstechniker/in, Elektrotechniker/in (w/m/d)
    DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Oberpfaffenhofen bei München
  2. (Junior) IT-Anforderungsmanager (m/w/x) Warenwirtschaftssysteme / Filialhandel - International
    ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr
Detailsuche

Denn zuvor musste Locky stets mit Command-and-Control-Servern kommunizieren, um die benötigen Schlüssel zum Verschlüsseln der Dateien abzurufen. "Ein Systemadministrator konnte alle Verbindungen zu den bekannten Command-and-Control-Servern blockieren und so eine Verschlüsselung des Systems verhindern. Diese Tage sind vorbei", sagt Moritz Kroll von Avira. "Locky hat jetzt die Chance für potentielle Opfer verringert, sich effektiv zu schützen".

Verschlüsselung nach ein bis zwei Minuten

Wenn Locky in der neuen Variante nicht in der Lage sei, einen Server zu erreichen, weil der PC nicht im Netzwerk ist oder der Zugriff per Firewall-Regel unterbunden ist, schalte Locky sich in den Offline-Modus. Das könne bereits nach ein bis zwei Minuten geschehen, schreibt Avira.

Selbst wenn ein Administrator den versuchten Zugriff auf die Server in den Logdateien bemerkt, gibt es also nur ein kurzes Zeitfenster, um den PC vorsorglich abzuschalten. Wird der PC dann verschlüsselt, gibt es allerdings einen Lichtblick: Alle PCs, die mit der Offline-Version verschlüsselt wurden, nutzen den gleichen Key.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Wenn also ein Betroffener den Entschlüsselungs-Key erhält, kann dieser bei allen Offline-Opfern eingesetzt werden. Bei ihnen wird die ID aus 32 Buchstaben und Zahlen gebildet und nicht, wie sonst üblich, als Hexcode. Locky hatte zwischenzeitlich mehr als 5.000 Rechner pro Stunde allein in Deutschland verschlüsselt. Über den Verbreitungsweg schreibt Avira nichts, F-Secure berichtet aber von vermehrter Botnetz-Aktivität beim Spam-Versand.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Apple
Macbook-Nutzer berichten über gesprungene Displays

Zahlreiche Besitzer von Macbooks mit M1-Chip berichten über plötzlich gesprungene Displays - Apple geht von Fremdverschulden aus.

Apple: Macbook-Nutzer berichten über gesprungene Displays
Artikel
  1. Gesetz tritt in Kraft: Die Uploadfilter sind da
    Gesetz tritt in Kraft
    Die Uploadfilter sind da

    Ab sofort haften große Plattformen für die Uploads ihrer Nutzer. Zu mehr Lizenzvereinbarungen hat das bei der Gema noch nicht geführt.
    Ein Bericht von Friedhelm Greis

  2. Mercedes-Benz: Daimler rechnet mit Abbau von Arbeitsplätzen durch E-Autos
    Mercedes-Benz
    Daimler rechnet mit Abbau von Arbeitsplätzen durch E-Autos

    Mehr Elektroautos bei Daimler bedeuten nach Ansicht der Chefetage weniger Arbeitsplätze. Grund sei der einfachere Einbau eines Elektromotors.

  3. VW, BMW, Daimler: Jedes sechste Elektroauto ist von deutschem Hersteller
    VW, BMW, Daimler
    Jedes sechste Elektroauto ist von deutschem Hersteller

    Das Elektroauto gewinnt an Fahrt bei den deutschen Herstellern und Autokäufern. Bei Angebot und Nachfrage dominiert China.

Wallbreaker 15. Jul 2016

So ziemlich alle Kryptotrojaner zielten nur auf Windows ab. Auch Locky ist nur zu Windows...

Wallbreaker 15. Jul 2016

Ein Shellscript wäre hier die passende Wahl. Würde sagen das find hier zu unflexibel...

Qbit42 15. Jul 2016

Ja, in der Tat habe ich bereits über ganz ähnliche Ansätze nachgedacht und man könnte da...

Wallbreaker 15. Jul 2016

Wie bereits gesagt wurde, geht es dabei nur um den Verschlüsselungsteil. Die Infektion...

/usr/ 15. Jul 2016

Also 4:1 Aber Locky hat weniger Bugs als die letzten EA Titel --> 5:1



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Acer XB323UGP (WQHD, 170Hz) 580,43€ • Acer XV340CKP (UWQHD, 144 Hz) 465,78€ • Razer BlackShark V2 + Base Station V2 Chroma 94,98€ • Mega-Marken-Sparen bei MM • Saturn: 1 Produkt zahlen, 2 erhalten • Alternate (u. a. AKRacing Core EX-Wide SE 248,99€) • Fallout 4 GOTY 9,99€ [Werbung]
    •  /