Abo
  • Services:
Anzeige
Über eine Tor-Seite können Nutzer den Schlüssel zur Freigabe ihrer Daten kaufen.
Über eine Tor-Seite können Nutzer den Schlüssel zur Freigabe ihrer Daten kaufen. (Bild: Bleepingcomputer.com)

Krypto-Trojaner Locky: Mehr als 5.000 Infektionen pro Stunde in Deutschland

Über eine Tor-Seite können Nutzer den Schlüssel zur Freigabe ihrer Daten kaufen.
Über eine Tor-Seite können Nutzer den Schlüssel zur Freigabe ihrer Daten kaufen. (Bild: Bleepingcomputer.com)

Selbst ein Fraunhofer-Institut ist betroffen: Die neue Ransomware Locky infiziert in großem Stil Rechner weltweit. Der Trojaner verfügt sogar über eine deutsche Sprachversion.

Nach Angaben von Sicherheitsexperten hat sich in den vergangenen Tagen ein neuer Kryptolocker rasend schnell auf Rechnern in Deutschland und vielen anderen Ländern verbreitet. Es handelt sich dabei um die Ransomware Locky, die Daten auf infizierten Computern verschlüsselt und erst nach Zahlung eines "Lösegeldes" wieder freigibt. Der britische Sicherheitsexperte Kevin Beaumont will den Datenverkehr der Trojaner mit einem Command-and-Control-Server mitverfolgt und bis zu fünf neue Infektionen pro Sekunde gezählt haben. Allein für Deutschland habe er zeitweise mehr als 5.000 Neuinfektionen pro Stunde registriert.

Anzeige

Nach Angaben von Beaumont werden die Rechner über Word-Dokumente infiziert. Das schädliche Makro befindet sich in angeblichen Rechnungen. Besonders perfide: Der vermeintliche Inhalt wird als Buchstabensalat angezeigt, dem die Aufforderung vorangestellt ist: "Bitte Makros aktivieren, wenn die Datencodierung falsch ist." Das Makro lädt dann den eigentlichen Trojaner ladybi.exe herunter, der anschließend die Dokumente in hash.locky-Dateien verschlüsselt, den Bildschirmhintergrund ändert sowie weitere Dateien herunterlädt und öffnet.

Einem Bericht von Bleeping Computer zufolge erreicht der Trojaner sogar Netzlaufwerke, die zum Zeitpunkt der Infektion nicht mit dem lokalen Laufwerk gemapped sind. Nach Angaben des luxemburgischen CERT wird der Trojaner auch über Excel-Dateien verbreitet. In einer halben Stunde seien 500 infizierte Mails in einer Honeypot-Domain angekommen.

Fraunhofer-Institut betroffen

Falls die betroffenen Nutzer keine Backups haben und die Daten wieder freibekommen wollen, werden sie auf eine Tor-Seite zur Entschlüsselung geleitet. Dort erscheint dann der Bitcoin-Betrag, mit dem ein Schlüssel zur Wiederherstellung der Daten gekauft werden kann. Laut Virus Total wird inzwischen der Trojaner von den meisten Anti-Virus-Programmen erkannt. Nach Ansicht Beaumonts handelt es sich bei der Attacke um ein "kriminelles Meisterstück". Er rechnet mit mehreren Hunderttausend infizierten Rechnern weltweit. Die Tatsache, dass die Schadsoftware in viele Sprachen übersetzt worden sei, deute auf eine gute Planung hin. Selbst die darin angegebenen Wikipedia-Artikel zu den Verschlüsselungsverfahren sind auf die jeweilige Landesversion angepasst.

Betroffen in Deutschland war unter anderem das Fraunhofer-Institut in Bayreuth. Locky habe am Mittwochnachmittag die Daten auf einem zentralen Computer verschlüsselt und damit unbrauchbar gemacht, sagte Sprecher Fred Nemitz der Nachrichtenagentur dpa. Betroffen von dem Ausfall seien etwa 60 PC-Arbeitsplätze gewesen, die mit dem infizierten Server verbunden gewesen seien.

IT-Spezialisten hätten auch am Donnerstag noch daran gearbeitet, den Trojaner zu entfernen. Wie lange dies dauern werde, sei derzeit noch nicht absehbar. Die beschädigten Daten sollen danach aus einer Sicherungsdatei wiederhergestellt werden, sagte eine IT-Expertin der Fraunhofer-Projektgruppe Regenerative Produktion. Wahrscheinlich sei die Schadsoftware über einen der PC-Arbeitsplätze ins Netzwerk des Instituts gelangt und habe sich dann selbstständig weiterkopiert.

Der Vorfall macht deutlich, dass offenbar immer noch viele Nutzer unbedarft auf Anhänge in Mails unbekannter Absender klicken. Ebenfalls scheinen viele Word-Nutzer die Makrosicherheit nicht hoch genug eingestellt zu haben. Zudem empfiehlt es sich offenbar, Backup-Geräte physisch vom Rechner zu trennen.

Nachtrag vom 19. Februar 2016, 20:28 Uhr

Wie das Sicherheitsunternehmen Kaspersky berichtet, verbreitet sich das Erpresserprogramm nicht nur über infizierte E-Mails. "Zudem haben wir auch einige legitime Websites entdeckt, auf denen die Locky-Schadsoftware platziert wird. Besucht ein Nutzer - mit entsprechenden Software-Schwachstellen auf seinem Rechner - eine solche Seite, versucht sich Locky automatisch auf diesem Rechner zu installieren", teilte das Unternehmen am Freitag mit.

Nach Angaben eines Golem.de-Lesers lädt die infizierte Excel-Version das Programm eiasus.exe nach. Auch dieses befinde sich im Verzeichnis C:\Users\USERNAME\AppData\Local\Temp.


eye home zur Startseite
neocron 25. Feb 2016

das kommt ganz auf den Inhalt an ... moechte man groesstmoegliche Kompatibilitaet und...

Oliver:Ess 24. Feb 2016

Ja kommt vor. Im Fall des Locky Trojaners allerdings, verbreitet sich der Schädling über...

Moe479 24. Feb 2016

Na dann sollte es auch ein Shellscript nicht dürfen, dass kann genauso gut im Anhang...

Moe479 24. Feb 2016

Na dann ... entlasse mal einfach den Vorgesetzten / Geschäftsfüher / Vorstandsmitglied...

schily 23. Feb 2016

Die Fraunhofer Gesellschaft ist eine Vereinigung von zur Zeit 67 Instituten. Das Institut...



Anzeige

Stellenmarkt
  1. über Hanseatisches Personalkontor Bremen, Großraum Bremen
  2. Chemische Fabrik Budenheim KG, Budenheim
  3. Deutsche Bundesbank, Frankfurt am Main
  4. Experis GmbH, Berlin


Anzeige
Spiele-Angebote
  1. 7,99€
  2. 17,99€
  3. 29,99€

Folgen Sie uns
       


  1. Bayerischer Rundfunk

    Fernsehsender wollen über 5G ausstrahlen

  2. Kupfer

    Nokia hält Terabit DSL für überflüssig

  3. Kryptowährung

    Bitcoin notiert auf neuem Rekordhoch

  4. Facebook

    Dokumente zum Umgang mit Sex- und Gewaltinhalten geleakt

  5. Arduino Cinque

    RISC-V-Prozessor und ESP32 auf einem Board vereint

  6. Schatten des Krieges angespielt

    Wir stürmen Festungen! Mit Orks! Und Drachen!

  7. Skills

    Amazon lässt Alexa natürlicher klingen

  8. Cray

    Rechenleistung von Supercomputern in der Cloud mieten

  9. Streaming

    Sky geht gegen Stream4u.tv und Hardwareanbieter vor

  10. Tado im Langzeittest

    Am Ende der Heizperiode



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Blackberry Keyone im Test: Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
Blackberry Keyone im Test
Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
  1. Blackberry Keyone kommt Mitte Mai
  2. Keyone Blackberrys neues Tastatur-Smartphone kommt später
  3. Blackberry Keyone im Hands on Android-Smartphone mit toller Hardware-Tastatur

The Surge im Test: Frust und Feiern in der Zukunft
The Surge im Test
Frust und Feiern in der Zukunft
  1. Wirtschaftssimulation Pizza Connection 3 wird gebacken
  2. Mobile-Games-Auslese Untote Rundfahrt und mobiles Seemannsgarn
  3. Spielebranche Beschäftigtenzahl in der deutschen Spielebranche sinkt

Redmond Campus Building 87: Microsofts Area 51 für Hardware
Redmond Campus Building 87
Microsofts Area 51 für Hardware
  1. Windows on ARM Microsoft erklärt den kommenden x86-Emulator im Detail
  2. Azure Microsoft betreut MySQL und PostgreSQL in der Cloud
  3. Microsoft Azure bekommt eine beeindruckend beängstigende Video-API

  1. Re: 1Terabit braucht in 10 Jahren keiner mehr...

    yoyoyo | 23:39

  2. Re: Frequenzvermüllung

    Sicaine | 23:38

  3. Re: Bitcoin ist ein Witz - keine Spekulation möglich

    plutoniumsulfat | 23:35

  4. Re: bin ich froh, dass ich damals gekauft habe...

    Unix_Linux | 23:30

  5. Hähhh...

    jude | 23:29


  1. 18:45

  2. 16:35

  3. 16:20

  4. 16:00

  5. 15:37

  6. 15:01

  7. 13:34

  8. 13:19


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel