Abo
  • IT-Karriere:

Krypto-Trojaner Locky: Mehr als 5.000 Infektionen pro Stunde in Deutschland

Selbst ein Fraunhofer-Institut ist betroffen: Die neue Ransomware Locky infiziert in großem Stil Rechner weltweit. Der Trojaner verfügt sogar über eine deutsche Sprachversion.

Artikel veröffentlicht am ,
Über eine Tor-Seite können Nutzer den Schlüssel zur Freigabe ihrer Daten kaufen.
Über eine Tor-Seite können Nutzer den Schlüssel zur Freigabe ihrer Daten kaufen. (Bild: Bleepingcomputer.com)

Nach Angaben von Sicherheitsexperten hat sich in den vergangenen Tagen ein neuer Kryptolocker rasend schnell auf Rechnern in Deutschland und vielen anderen Ländern verbreitet. Es handelt sich dabei um die Ransomware Locky, die Daten auf infizierten Computern verschlüsselt und erst nach Zahlung eines "Lösegeldes" wieder freigibt. Der britische Sicherheitsexperte Kevin Beaumont will den Datenverkehr der Trojaner mit einem Command-and-Control-Server mitverfolgt und bis zu fünf neue Infektionen pro Sekunde gezählt haben. Allein für Deutschland habe er zeitweise mehr als 5.000 Neuinfektionen pro Stunde registriert.

Stellenmarkt
  1. Allgeier Experts Pro GmbH, Essen
  2. INIT Group, Karlsruhe

Nach Angaben von Beaumont werden die Rechner über Word-Dokumente infiziert. Das schädliche Makro befindet sich in angeblichen Rechnungen. Besonders perfide: Der vermeintliche Inhalt wird als Buchstabensalat angezeigt, dem die Aufforderung vorangestellt ist: "Bitte Makros aktivieren, wenn die Datencodierung falsch ist." Das Makro lädt dann den eigentlichen Trojaner ladybi.exe herunter, der anschließend die Dokumente in hash.locky-Dateien verschlüsselt, den Bildschirmhintergrund ändert sowie weitere Dateien herunterlädt und öffnet.

Einem Bericht von Bleeping Computer zufolge erreicht der Trojaner sogar Netzlaufwerke, die zum Zeitpunkt der Infektion nicht mit dem lokalen Laufwerk gemapped sind. Nach Angaben des luxemburgischen CERT wird der Trojaner auch über Excel-Dateien verbreitet. In einer halben Stunde seien 500 infizierte Mails in einer Honeypot-Domain angekommen.

Fraunhofer-Institut betroffen

Falls die betroffenen Nutzer keine Backups haben und die Daten wieder freibekommen wollen, werden sie auf eine Tor-Seite zur Entschlüsselung geleitet. Dort erscheint dann der Bitcoin-Betrag, mit dem ein Schlüssel zur Wiederherstellung der Daten gekauft werden kann. Laut Virus Total wird inzwischen der Trojaner von den meisten Anti-Virus-Programmen erkannt. Nach Ansicht Beaumonts handelt es sich bei der Attacke um ein "kriminelles Meisterstück". Er rechnet mit mehreren Hunderttausend infizierten Rechnern weltweit. Die Tatsache, dass die Schadsoftware in viele Sprachen übersetzt worden sei, deute auf eine gute Planung hin. Selbst die darin angegebenen Wikipedia-Artikel zu den Verschlüsselungsverfahren sind auf die jeweilige Landesversion angepasst.

Betroffen in Deutschland war unter anderem das Fraunhofer-Institut in Bayreuth. Locky habe am Mittwochnachmittag die Daten auf einem zentralen Computer verschlüsselt und damit unbrauchbar gemacht, sagte Sprecher Fred Nemitz der Nachrichtenagentur dpa. Betroffen von dem Ausfall seien etwa 60 PC-Arbeitsplätze gewesen, die mit dem infizierten Server verbunden gewesen seien.

IT-Spezialisten hätten auch am Donnerstag noch daran gearbeitet, den Trojaner zu entfernen. Wie lange dies dauern werde, sei derzeit noch nicht absehbar. Die beschädigten Daten sollen danach aus einer Sicherungsdatei wiederhergestellt werden, sagte eine IT-Expertin der Fraunhofer-Projektgruppe Regenerative Produktion. Wahrscheinlich sei die Schadsoftware über einen der PC-Arbeitsplätze ins Netzwerk des Instituts gelangt und habe sich dann selbstständig weiterkopiert.

Der Vorfall macht deutlich, dass offenbar immer noch viele Nutzer unbedarft auf Anhänge in Mails unbekannter Absender klicken. Ebenfalls scheinen viele Word-Nutzer die Makrosicherheit nicht hoch genug eingestellt zu haben. Zudem empfiehlt es sich offenbar, Backup-Geräte physisch vom Rechner zu trennen.

Nachtrag vom 19. Februar 2016, 20:28 Uhr

Wie das Sicherheitsunternehmen Kaspersky berichtet, verbreitet sich das Erpresserprogramm nicht nur über infizierte E-Mails. "Zudem haben wir auch einige legitime Websites entdeckt, auf denen die Locky-Schadsoftware platziert wird. Besucht ein Nutzer - mit entsprechenden Software-Schwachstellen auf seinem Rechner - eine solche Seite, versucht sich Locky automatisch auf diesem Rechner zu installieren", teilte das Unternehmen am Freitag mit.

Nach Angaben eines Golem.de-Lesers lädt die infizierte Excel-Version das Programm eiasus.exe nach. Auch dieses befinde sich im Verzeichnis C:\Users\USERNAME\AppData\Local\Temp.



Anzeige
Hardware-Angebote
  1. mit Gutschein: NBBX570

neocron 25. Feb 2016

das kommt ganz auf den Inhalt an ... moechte man groesstmoegliche Kompatibilitaet und...

Oliver:Ess 24. Feb 2016

Ja kommt vor. Im Fall des Locky Trojaners allerdings, verbreitet sich der Schädling über...

Moe479 24. Feb 2016

Na dann sollte es auch ein Shellscript nicht dürfen, dass kann genauso gut im Anhang...

Moe479 24. Feb 2016

Na dann ... entlasse mal einfach den Vorgesetzten / Geschäftsfüher / Vorstandsmitglied...

schily 23. Feb 2016

Die Fraunhofer Gesellschaft ist eine Vereinigung von zur Zeit 67 Instituten. Das Institut...


Folgen Sie uns
       


Nokia 6.2 und 7.2 - Hands on

Das Nokia 6.2 und das Nokia 7.2 sind zwei Android-Smartphones im Mittelklassesegment. Beide sind Teil des Android-One-Programms und dürften entsprechend schnelle Updates erhalten.

Nokia 6.2 und 7.2 - Hands on Video aufrufen
Alexa: Das allgegenwärtige Ohr Amazons
Alexa
Das allgegenwärtige Ohr Amazons

Die kürzlich angekündigten Echo-Produkte bringen Amazons Sprachassistentin Alexa auf die Straße und damit Datenschutzprobleme in die U-Bahn oder in bisher Alexa-freie Wohnzimmer. Mehrere Landesdatenschutzbeauftragte haben Golem.de erklärt, ob und wie die Geräte eingesetzt werden dürfen.
Von Moritz Tremmel

  1. Digitaler Assistent Amazon bringt neue Funktionen für Alexa
  2. Echo Frames und Echo Loop Amazon zeigt eine Brille und einen Ring mit Alexa
  3. Alexa Answers Nutzer smarter Lautsprecher sollen Alexa Wissen beibringen

Internetprovider: P(y)ures Chaos
Internetprovider
P(y)ures Chaos

95 Prozent der Kunden des Internetproviders Pyur bewerten die Leistung auf renommierten Bewertungsportalen mit der Schulnote 6. Ein Negativrekord in der Branche. Was steckt hinter der desaströsen Kunden(un)zufriedenheit bei der Marke von Tele Columbus? Ein Selbstversuch.
Ein Erfahrungsbericht von Tarik Ahmia

  1. Bundesnetzagentur Nur 13 Prozent bekommen im Festnetz die volle Datenrate

Rohstoffe: Lithium aus dem heißen Untergrund
Rohstoffe
Lithium aus dem heißen Untergrund

Liefern Geothermiekraftwerke in Südwestdeutschland bald nicht nur Strom und Wärme, sondern auch einen wichtigen Rohstoff für die Akkus von Smartphones, Tablets und Elektroautos? Das Thermalwasser hat einen so hohen Gehalt an Lithium, dass sich ein Abbau lohnen könnte. Doch es gibt auch Gegner.
Ein Bericht von Werner Pluta

  1. Wasserkraft Strom aus dem Strom
  2. Energie Wie Mikroben Methan mit Windstrom produzieren
  3. Erneuerbare Energien Die Energiewende braucht Wasserstoff

    •  /