Abo
  • Services:
Anzeige
Der Wursthersteller hat nichts mit den Rechnungen zu tun - und warnt auf seiner Webseite.
Der Wursthersteller hat nichts mit den Rechnungen zu tun - und warnt auf seiner Webseite. (Bild: Screenshot Golem.de)

Ransomware: Locky kommt jetzt auch über Jscript

Der Wursthersteller hat nichts mit den Rechnungen zu tun - und warnt auf seiner Webseite.
Der Wursthersteller hat nichts mit den Rechnungen zu tun - und warnt auf seiner Webseite. (Bild: Screenshot Golem.de)

Eine Spam-Kampagne verteilt die Locky-Ransomware jetzt auch über Jscript-Anhänge in E-Mails - die angeblich von einem Wursthersteller kommen.

Die Ransomware Locky grassiert derzeit in Deutschland - zeitweise gab es mehr als 5.000 Infektionen pro Stunde. Jetzt ist ein neuer Verbreitungsweg der Malware aufgetaucht - Nutzer bekommen Spam-Mails mit einem Jscript-Anhang. Die E-Mails enthalten vorgeblich Rechnungen und stammen angeblich von einem mittelständischen Wursthersteller aus Ludwigslust.

Anzeige

Die E-Mails enthalten eine Zip-Datei, die wiederum eine Jscript-Datei beinhaltet. Klicken Nutzer diese Datei an, wird Locky installiert. Die Datei selbst enthält keinen Schadcode, sondern lediglich einen obfuskierten Downloader. Um den Code unleserlich zu machen, nutzen die Angreifer offenbar eine String-Obfuskation, die Unicode-Befehle in Listen versteckt.

  • Der Wursthersteller warnt vor der Spam-Mail auf seiner Webseite. (Screenshot: Golem.de)
  • Die Spam-Mail enthält eine Zip-Datei. (Bild: Kevin Beaumont)
  • Der Javascript-Code ist obfuskiert. (Bild: SANS Institute/Didier Stevens)
  • Auch diese Locky-Version enthält eine Anleitung zum Entsperren der Daten. (Bild: Kevin Beaumont)
Der Wursthersteller warnt vor der Spam-Mail auf seiner Webseite. (Screenshot: Golem.de)

Weil die Jscript-Datei nur den Downloader ausführt, wurde sie von Antivirenprogrammen zunächst nicht als Virus erkannt. Ist Locky nachgeladen, wird das Programm ausgeführt und verhält sich danach entsprechend der vorher verbreiteten Version: Alle Dateien auf dem Rechner, aber auch jene auf per USB oder Netzwerk verbundenen Speichermedien, werden verschlüsselt. Locky fordert dann ein Lösegeld von 0,5 Bitcoin - derzeit etwa 190 Euro. Wer die Infektion des Rechners feststellt, aber schnell genug reagiert, kann unter Umständen noch unverschlüsselte, von Windows angelegte Schattenkopien retten. Mit spezieller Software können diese wiederhergestellt werden, wenn die betroffene Festplatte an einem sauberen Gerät gemountet wird.

Wursthersteller wird von Locky-Opfern angerufen

Der angebliche Rechnungssteller aus Ludwigslust hat derzeit unter der Phishing-Mail zu leiden - denn das Unternehmen existiert tatsächlich. Seitdem die E-Mails am Freitag erstmals aufgetaucht sind, wird das Unternehmen von Locky-Opfern angerufen und angeschrieben, wie ein IT-Verantwortlicher des Unternehmens heise.de sagte. Einige Opfer wollen sogar Schadenersatzforderungen geltend machen - obwohl das Unternehmen nichts mit der Verbreitung oder Entwicklung der Malware zu tun hat. Auf der Homepage des Unternehmens wird derzeit daher vor dem Öffnen des Anhangs gewarnt.

Nachtrag vom 24. Februar 2016, 15:55 Uhr

Ursprünglich hatten wir geschrieben, dass es sich um eine Javascript-Datei handelt. Tatsächlich hat die Datei die Endung .js - ist aber eine Jscript-Datei. Wir haben das im Text jetzt korrigiert.


eye home zur Startseite
paranoidandroid 25. Jun 2016

Aktualisieren: ShadowExplorerhttp://www.shadowexplorer.com/ und dieser Anleitunghttp...

Petterson 09. Mär 2016

... mit einer js datei in einem zip. https://gist.github.com/danieltroger...

.hiro 25. Feb 2016

Neben diesem Fax, hatte ich auch noch eine Rechnung von Winvest mit Locky .h

v2nc 25. Feb 2016

Anti VM/Sandbox ist eins von vielen Features eines sogenannten "Trojaner Baukastens...

Bogggler 24. Feb 2016

Teslacrypt wurde ja offenbar auch über driveby verbreitet. Gibts da schon nähere Infos?



Anzeige

Stellenmarkt
  1. Präsidium Technik, Logistik, Service der Polizei, Stuttgart
  2. GK Software AG, Schöneck/Vogtland, Berlin
  3. über Baumann Unternehmensberatung AG, Ingolstadt, München, Stuttgart
  4. Schwarz IT Infrastructure & Operations Services GmbH & Co. KG, Neckarsulm


Anzeige
Top-Angebote
  1. 299,00€
  2. 69,00€
  3. 222,00€

Folgen Sie uns
       


  1. Heiko Maas

    "Kein Wunder, dass Facebook seine Vorgaben geheim hält"

  2. Virtual Reality

    Oculus Rift unterstützt offiziell Roomscale-VR

  3. FTP-Client

    Filezilla bekommt ein Master Password

  4. Künstliche Intelligenz

    Apple arbeitet offenbar an eigenem AI-Prozessor

  5. Die Woche im Video

    Verbogen, abgehoben und tiefergelegt

  6. ZTE

    Chinas großes 5G-Testprojekt läuft weiter

  7. Ubisoft

    Far Cry 5 bietet Kampf gegen Sekte in und über Montana

  8. Rockstar Games

    Waffenschiebereien in GTA 5

  9. Browser-Games

    Unreal Engine 4.16 unterstützt Wasm und WebGL 2.0

  10. Hasskommentare

    Bundesrat fordert zahlreiche Änderungen an Maas-Gesetz



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Redmond Campus Building 87: Microsofts Area 51 für Hardware
Redmond Campus Building 87
Microsofts Area 51 für Hardware
  1. Windows on ARM Microsoft erklärt den kommenden x86-Emulator im Detail
  2. Azure Microsoft betreut MySQL und PostgreSQL in der Cloud
  3. Microsoft Azure bekommt eine beeindruckend beängstigende Video-API

3D-Druck bei der Bahn: Mal eben einen Kleiderhaken für 80 Euro drucken
3D-Druck bei der Bahn
Mal eben einen Kleiderhaken für 80 Euro drucken
  1. Bahnchef Richard Lutz Künftig "kein Ticket mehr für die Bahn" notwendig
  2. Flatrate Öffentliches Fahrradleihen kostet 50 Euro im Jahr
  3. Nextbike Berlins neues Fahrradverleihsystem startet

Panasonic Lumix GH5 im Test: Die Kamera, auf die wir gewartet haben
Panasonic Lumix GH5 im Test
Die Kamera, auf die wir gewartet haben
  1. Die Woche im Video Scharfes Video, spartanisches Windows, spaßige Switch

  1. Re: Mal ne dumme Gegenfrage:

    __destruct() | 21:43

  2. Re: Siri und diktieren

    rabatz | 21:41

  3. Re: Machen wir doch mal die Probe aufs Exempel

    ML82 | 21:33

  4. Re: Also so eine art Amerikanischer IS Verschnitt...

    SanderK | 21:21

  5. Re: Akito Thunder 2 + Macbook

    Mixermachine | 21:13


  1. 12:54

  2. 12:41

  3. 11:44

  4. 11:10

  5. 09:01

  6. 17:40

  7. 16:40

  8. 16:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel