Abo
  • Services:
Anzeige
Der Wursthersteller hat nichts mit den Rechnungen zu tun - und warnt auf seiner Webseite.
Der Wursthersteller hat nichts mit den Rechnungen zu tun - und warnt auf seiner Webseite. (Bild: Screenshot Golem.de)

Ransomware: Locky kommt jetzt auch über Jscript

Der Wursthersteller hat nichts mit den Rechnungen zu tun - und warnt auf seiner Webseite.
Der Wursthersteller hat nichts mit den Rechnungen zu tun - und warnt auf seiner Webseite. (Bild: Screenshot Golem.de)

Eine Spam-Kampagne verteilt die Locky-Ransomware jetzt auch über Jscript-Anhänge in E-Mails - die angeblich von einem Wursthersteller kommen.

Die Ransomware Locky grassiert derzeit in Deutschland - zeitweise gab es mehr als 5.000 Infektionen pro Stunde. Jetzt ist ein neuer Verbreitungsweg der Malware aufgetaucht - Nutzer bekommen Spam-Mails mit einem Jscript-Anhang. Die E-Mails enthalten vorgeblich Rechnungen und stammen angeblich von einem mittelständischen Wursthersteller aus Ludwigslust.

Anzeige

Die E-Mails enthalten eine Zip-Datei, die wiederum eine Jscript-Datei beinhaltet. Klicken Nutzer diese Datei an, wird Locky installiert. Die Datei selbst enthält keinen Schadcode, sondern lediglich einen obfuskierten Downloader. Um den Code unleserlich zu machen, nutzen die Angreifer offenbar eine String-Obfuskation, die Unicode-Befehle in Listen versteckt.

  • Der Wursthersteller warnt vor der Spam-Mail auf seiner Webseite. (Screenshot: Golem.de)
  • Die Spam-Mail enthält eine Zip-Datei. (Bild: Kevin Beaumont)
  • Der Javascript-Code ist obfuskiert. (Bild: SANS Institute/Didier Stevens)
  • Auch diese Locky-Version enthält eine Anleitung zum Entsperren der Daten. (Bild: Kevin Beaumont)
Der Wursthersteller warnt vor der Spam-Mail auf seiner Webseite. (Screenshot: Golem.de)

Weil die Jscript-Datei nur den Downloader ausführt, wurde sie von Antivirenprogrammen zunächst nicht als Virus erkannt. Ist Locky nachgeladen, wird das Programm ausgeführt und verhält sich danach entsprechend der vorher verbreiteten Version: Alle Dateien auf dem Rechner, aber auch jene auf per USB oder Netzwerk verbundenen Speichermedien, werden verschlüsselt. Locky fordert dann ein Lösegeld von 0,5 Bitcoin - derzeit etwa 190 Euro. Wer die Infektion des Rechners feststellt, aber schnell genug reagiert, kann unter Umständen noch unverschlüsselte, von Windows angelegte Schattenkopien retten. Mit spezieller Software können diese wiederhergestellt werden, wenn die betroffene Festplatte an einem sauberen Gerät gemountet wird.

Wursthersteller wird von Locky-Opfern angerufen

Der angebliche Rechnungssteller aus Ludwigslust hat derzeit unter der Phishing-Mail zu leiden - denn das Unternehmen existiert tatsächlich. Seitdem die E-Mails am Freitag erstmals aufgetaucht sind, wird das Unternehmen von Locky-Opfern angerufen und angeschrieben, wie ein IT-Verantwortlicher des Unternehmens heise.de sagte. Einige Opfer wollen sogar Schadenersatzforderungen geltend machen - obwohl das Unternehmen nichts mit der Verbreitung oder Entwicklung der Malware zu tun hat. Auf der Homepage des Unternehmens wird derzeit daher vor dem Öffnen des Anhangs gewarnt.

Nachtrag vom 24. Februar 2016, 15:55 Uhr

Ursprünglich hatten wir geschrieben, dass es sich um eine Javascript-Datei handelt. Tatsächlich hat die Datei die Endung .js - ist aber eine Jscript-Datei. Wir haben das im Text jetzt korrigiert.


eye home zur Startseite
paranoidandroid 25. Jun 2016

Aktualisieren: ShadowExplorerhttp://www.shadowexplorer.com/ und dieser Anleitunghttp...

Petterson 09. Mär 2016

... mit einer js datei in einem zip. https://gist.github.com/danieltroger...

.hiro 25. Feb 2016

Neben diesem Fax, hatte ich auch noch eine Rechnung von Winvest mit Locky .h

v2nc 25. Feb 2016

Anti VM/Sandbox ist eins von vielen Features eines sogenannten "Trojaner Baukastens...

Bogggler 24. Feb 2016

Teslacrypt wurde ja offenbar auch über driveby verbreitet. Gibts da schon nähere Infos?



Anzeige

Stellenmarkt
  1. HUGO BRENNENSTUHL GMBH & CO KOMMANDITGESELLSCHAFT, Tübingen-Pfrondorf
  2. PTV Group, Karlsruhe
  3. Daimler AG, Stuttgart
  4. Daimler AG, Germersheim


Anzeige
Top-Angebote
  1. (-58%) 24,99€
  2. (-66%) 6,80€
  3. (u. a. Hacksaw Ridge, Lion, Snowden, Lone Survivor, London Has Fallen, Homefront)

Folgen Sie uns
       


  1. Unternehmen

    1&1 Versatel bietet Gigabit für Frankfurt

  2. Microsoft

    Xbox One emuliert 13 Xbox-Klassiker

  3. DMT Bonding

    Telekom probiert 1 GBit/s ohne Glasfaser aus

  4. Telekom-Software

    Cisco kauft Broadsoft für knapp 2 Milliarden US-Dollar

  5. Pubg

    Die blaue Zone verursacht künftig viel mehr Schaden

  6. FSFE

    "War das Scheitern von Limux unsere Schuld?"

  7. Code-Audit

    Kaspersky wirbt mit Transparenzinitiative um Vertrauen

  8. iOS 11+1+2=23

    Apple-Taschenrechner versagt bei Kopfrechenaufgaben

  9. Purism Librem 13 im Test

    Freiheit hat ihren Preis

  10. Andy Rubin

    Drastischer Preisnachlass beim Essential Phone



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Flettner-Rotoren: Wie Schiffe mit Stahlsegeln Treibstoff sparen
Flettner-Rotoren
Wie Schiffe mit Stahlsegeln Treibstoff sparen
  1. Hyperflight China plant superschnellen Vactrain
  2. Sea Bubbles Tragflächen-Elektroboote kommen nach Paris
  3. Honolulu Strafe für Handynutzung auf der Straße

Gran Turismo Sport im Test: Puristischer Fahrspaß - fast nur für Onlineraser
Gran Turismo Sport im Test
Puristischer Fahrspaß - fast nur für Onlineraser

Passwortmanager im Vergleich: Das letzte Passwort, das du dir jemals merken musst
Passwortmanager im Vergleich
Das letzte Passwort, das du dir jemals merken musst
  1. Mirai-Nachfolger Experten warnen vor "Cyber-Hurrican" durch neues Botnetz
  2. Cyno Sure Prime Passwortcracker nehmen Troy Hunts Hashes auseinander
  3. Passwortmanager Lastpass ab sofort doppelt so teuer

  1. Re: Bonding von 8 Leitungen?

    t5b6_de | 22:39

  2. Re: Verurteilung

    plutoniumsulfat | 22:35

  3. Re: Besser als GTA

    Mithrandir | 22:35

  4. Re: Was hat das mit Sexismus zu tun?

    Flasher | 22:35

  5. Re: Emuliert?

    bark | 22:34


  1. 18:46

  2. 17:54

  3. 17:38

  4. 16:38

  5. 16:28

  6. 15:53

  7. 15:38

  8. 15:23


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel