Ransomware: Locky kehrt erneut zurück

Die Ransomware Locky taucht seit Anfang August erneut gehäuft im Netz auf. Wie Malwarebytes schreibt, wird die neue Locky-Version über das Necurs-Botnetz verteilt. Auch diese Locky-Variante wird über Word- oder Zip-Attachments an Spam-E-Mails verbreitet.

Seit August sind bereits mehrere Versionen des Schadprogramms gesichtet worden, die in Deutschland zeitweise zahlreiche Privatnutzer und Institutionen befallen hatte. Eine der Versionen verschlüsselt Dateien mit der Endung .diablo6, eine weitere Version nutzt die Endung -Lukitus.

Die aktuellen Versionen der Ransomware nutzen auch einen neuen Command-und-Control-Server. Sie geben dabei die Affiliate ID AffilID3 und AffilID an. Ransomware-Angriffe werden heute von Kriminellen als Dienstleistung angeboten und können gegen Geld oder Provisionszahlungen gemietet werden.

Verbreitungskurve geht erneut hoch

Laut Malwarebytes ist die Verbreitung von Locky in den vergangenen Monaten stark zurückgegangen und schnellt jetzt erneut hoch. Aktive Kampagnen nutzen Attachments mit .zip, und vbs.-Dateien ebenso wie PDF-Dateien mit eingebetteten .Docm-Elementen und verschiedene verschlüsselte Dateiformate mit JS-Dateien. Locky nutzt RSA-2048 in Verbindung mit AES-128, um die Dateien zu verschlüsseln.

Ransomware lässt sich von Kriminellen vergleichsweise einfach und effektiv monetarisieren und ist daher neben Bankentrojanern und anderen Betrugsszenarien zu einer weit verbreiteten Gefahr geworden. Gerade Unternehmen mit vielen Rechnern stellen ein beliebtes Ziel für Angreifer dar. Bei großen Angriffen wie Not Petya und Wanna Cry ist allerdings umstritten, ob die Erpressung von Lösegeld im Vordergrund steht, oder ob es eher um die Störung von Betriebsabläufen geht.