Abo
  • Services:
Anzeige
Über eine Tor-Seite können Nutzer den Schlüssel zur Freigabe ihrer Daten kaufen.
Über eine Tor-Seite können Nutzer den Schlüssel zur Freigabe ihrer Daten kaufen. (Bild: Bleepingcomputer.com)

Krypto-Trojaner Locky: Mehr als 5.000 Infektionen pro Stunde in Deutschland

Über eine Tor-Seite können Nutzer den Schlüssel zur Freigabe ihrer Daten kaufen.
Über eine Tor-Seite können Nutzer den Schlüssel zur Freigabe ihrer Daten kaufen. (Bild: Bleepingcomputer.com)

Selbst ein Fraunhofer-Institut ist betroffen: Die neue Ransomware Locky infiziert in großem Stil Rechner weltweit. Der Trojaner verfügt sogar über eine deutsche Sprachversion.

Nach Angaben von Sicherheitsexperten hat sich in den vergangenen Tagen ein neuer Kryptolocker rasend schnell auf Rechnern in Deutschland und vielen anderen Ländern verbreitet. Es handelt sich dabei um die Ransomware Locky, die Daten auf infizierten Computern verschlüsselt und erst nach Zahlung eines "Lösegeldes" wieder freigibt. Der britische Sicherheitsexperte Kevin Beaumont will den Datenverkehr der Trojaner mit einem Command-and-Control-Server mitverfolgt und bis zu fünf neue Infektionen pro Sekunde gezählt haben. Allein für Deutschland habe er zeitweise mehr als 5.000 Neuinfektionen pro Stunde registriert.

Anzeige

Nach Angaben von Beaumont werden die Rechner über Word-Dokumente infiziert. Das schädliche Makro befindet sich in angeblichen Rechnungen. Besonders perfide: Der vermeintliche Inhalt wird als Buchstabensalat angezeigt, dem die Aufforderung vorangestellt ist: "Bitte Makros aktivieren, wenn die Datencodierung falsch ist." Das Makro lädt dann den eigentlichen Trojaner ladybi.exe herunter, der anschließend die Dokumente in hash.locky-Dateien verschlüsselt, den Bildschirmhintergrund ändert sowie weitere Dateien herunterlädt und öffnet.

Einem Bericht von Bleeping Computer zufolge erreicht der Trojaner sogar Netzlaufwerke, die zum Zeitpunkt der Infektion nicht mit dem lokalen Laufwerk gemapped sind. Nach Angaben des luxemburgischen CERT wird der Trojaner auch über Excel-Dateien verbreitet. In einer halben Stunde seien 500 infizierte Mails in einer Honeypot-Domain angekommen.

Fraunhofer-Institut betroffen

Falls die betroffenen Nutzer keine Backups haben und die Daten wieder freibekommen wollen, werden sie auf eine Tor-Seite zur Entschlüsselung geleitet. Dort erscheint dann der Bitcoin-Betrag, mit dem ein Schlüssel zur Wiederherstellung der Daten gekauft werden kann. Laut Virus Total wird inzwischen der Trojaner von den meisten Anti-Virus-Programmen erkannt. Nach Ansicht Beaumonts handelt es sich bei der Attacke um ein "kriminelles Meisterstück". Er rechnet mit mehreren Hunderttausend infizierten Rechnern weltweit. Die Tatsache, dass die Schadsoftware in viele Sprachen übersetzt worden sei, deute auf eine gute Planung hin. Selbst die darin angegebenen Wikipedia-Artikel zu den Verschlüsselungsverfahren sind auf die jeweilige Landesversion angepasst.

Betroffen in Deutschland war unter anderem das Fraunhofer-Institut in Bayreuth. Locky habe am Mittwochnachmittag die Daten auf einem zentralen Computer verschlüsselt und damit unbrauchbar gemacht, sagte Sprecher Fred Nemitz der Nachrichtenagentur dpa. Betroffen von dem Ausfall seien etwa 60 PC-Arbeitsplätze gewesen, die mit dem infizierten Server verbunden gewesen seien.

IT-Spezialisten hätten auch am Donnerstag noch daran gearbeitet, den Trojaner zu entfernen. Wie lange dies dauern werde, sei derzeit noch nicht absehbar. Die beschädigten Daten sollen danach aus einer Sicherungsdatei wiederhergestellt werden, sagte eine IT-Expertin der Fraunhofer-Projektgruppe Regenerative Produktion. Wahrscheinlich sei die Schadsoftware über einen der PC-Arbeitsplätze ins Netzwerk des Instituts gelangt und habe sich dann selbstständig weiterkopiert.

Der Vorfall macht deutlich, dass offenbar immer noch viele Nutzer unbedarft auf Anhänge in Mails unbekannter Absender klicken. Ebenfalls scheinen viele Word-Nutzer die Makrosicherheit nicht hoch genug eingestellt zu haben. Zudem empfiehlt es sich offenbar, Backup-Geräte physisch vom Rechner zu trennen.

Nachtrag vom 19. Februar 2016, 20:28 Uhr

Wie das Sicherheitsunternehmen Kaspersky berichtet, verbreitet sich das Erpresserprogramm nicht nur über infizierte E-Mails. "Zudem haben wir auch einige legitime Websites entdeckt, auf denen die Locky-Schadsoftware platziert wird. Besucht ein Nutzer - mit entsprechenden Software-Schwachstellen auf seinem Rechner - eine solche Seite, versucht sich Locky automatisch auf diesem Rechner zu installieren", teilte das Unternehmen am Freitag mit.

Nach Angaben eines Golem.de-Lesers lädt die infizierte Excel-Version das Programm eiasus.exe nach. Auch dieses befinde sich im Verzeichnis C:\Users\USERNAME\AppData\Local\Temp.


eye home zur Startseite
neocron 25. Feb 2016

das kommt ganz auf den Inhalt an ... moechte man groesstmoegliche Kompatibilitaet und...

Oliver:Ess 24. Feb 2016

Ja kommt vor. Im Fall des Locky Trojaners allerdings, verbreitet sich der Schädling über...

Moe479 24. Feb 2016

Na dann sollte es auch ein Shellscript nicht dürfen, dass kann genauso gut im Anhang...

Moe479 24. Feb 2016

Na dann ... entlasse mal einfach den Vorgesetzten / Geschäftsfüher / Vorstandsmitglied...

schily 23. Feb 2016

Die Fraunhofer Gesellschaft ist eine Vereinigung von zur Zeit 67 Instituten. Das Institut...



Anzeige

Stellenmarkt
  1. IAV GmbH - Ingenieurgesellschaft Auto und Verkehr, Sindelfingen
  2. über Ratbacher GmbH, Karlsruhe
  3. Stadtwerke München GmbH, München
  4. T-Systems International GmbH, verschiedene Standorte


Anzeige
Top-Angebote
  1. 189,00€
  2. 3,00€ inkl. Versand

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Blackberry Key One

    Android-Smartphone mit Hardware-Tastatur kostet viel

  2. Arrow Launcher 3.0

    Microsofts Android-Launcher braucht weniger Energie und RAM

  3. Die Woche im Video

    Angeswitcht, angegriffen, abgeturnt

  4. Hardlight VR Suit

    Vibrations-Weste soll VR-Erlebnis realistischer machen

  5. Autonomes Fahren

    Der Truck lernt beim Fahren

  6. Selektorenaffäre

    BND soll ausländische Journalisten ausspioniert haben

  7. Kursanstieg

    Bitcoin auf neuem Rekordhoch

  8. Google-Steuer

    Widerstand gegen Leistungsschutzrecht auf EU-Ebene

  9. Linux-Kernel

    Torvalds droht mit Nicht-Aufnahme von Treibercode

  10. Airbus A320

    In Flugzeugen wird der Platz selbst für kleine Laptops knapp



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Hyperloop-Challenge: Der Kompressor macht den Unterschied
Hyperloop-Challenge
Der Kompressor macht den Unterschied
  1. Arrivo Die neuen alten Hyperlooper
  2. SpaceX Die Bayern hyperloopen am schnellsten und weitesten
  3. Hyperloop HTT baut ein Forschungszentrum in Toulouse

Merkels NSA-Vernehmung: Die unerträgliche Uninformiertheit der Kanzlerin
Merkels NSA-Vernehmung
Die unerträgliche Uninformiertheit der Kanzlerin
  1. Apple Planet der affigen Fernsehshows
  2. München Wie Limux unter Ausschluss der Öffentlichkeit zerstört wird
  3. Glasfaser Nun hängt die Kabel doch endlich auf!

Der große Ultra-HD-Blu-ray-Test (Teil 2): 4K-Hardware ist nichts für Anfänger
Der große Ultra-HD-Blu-ray-Test (Teil 2)
4K-Hardware ist nichts für Anfänger
  1. Der große Ultra-HD-Blu-ray-Test (Teil 1) 4K-Filme verzeihen keine Fehler
  2. Deutsche Verkaufszahlen Unberechtigter Jubel über die UHD-Blu-ray
  3. 4K Blu-ray Sonys erster UHD-Player kommt im Frühjahr 2017

  1. Re: sehr clever ... MS

    FreiGeistler | 01:33

  2. Re: Erklärung für einen Kryptodepp

    freebyte | 01:28

  3. Ich habe es natürlich verkackt.

    __destruct() | 01:28

  4. Re: First World Problems

    picaschaf | 01:21

  5. Re: Anscheinend gibt es keine gesetzlichen Vorgaben.

    picaschaf | 01:17


  1. 20:21

  2. 11:57

  3. 09:02

  4. 18:02

  5. 17:43

  6. 16:49

  7. 16:21

  8. 16:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel