Abo
  • Services:
Anzeige
Der Wursthersteller hat nichts mit den Rechnungen zu tun - und warnt auf seiner Webseite.
Der Wursthersteller hat nichts mit den Rechnungen zu tun - und warnt auf seiner Webseite. (Bild: Screenshot Golem.de)

Ransomware: Locky kommt jetzt auch über Jscript

Der Wursthersteller hat nichts mit den Rechnungen zu tun - und warnt auf seiner Webseite.
Der Wursthersteller hat nichts mit den Rechnungen zu tun - und warnt auf seiner Webseite. (Bild: Screenshot Golem.de)

Eine Spam-Kampagne verteilt die Locky-Ransomware jetzt auch über Jscript-Anhänge in E-Mails - die angeblich von einem Wursthersteller kommen.

Die Ransomware Locky grassiert derzeit in Deutschland - zeitweise gab es mehr als 5.000 Infektionen pro Stunde. Jetzt ist ein neuer Verbreitungsweg der Malware aufgetaucht - Nutzer bekommen Spam-Mails mit einem Jscript-Anhang. Die E-Mails enthalten vorgeblich Rechnungen und stammen angeblich von einem mittelständischen Wursthersteller aus Ludwigslust.

Anzeige

Die E-Mails enthalten eine Zip-Datei, die wiederum eine Jscript-Datei beinhaltet. Klicken Nutzer diese Datei an, wird Locky installiert. Die Datei selbst enthält keinen Schadcode, sondern lediglich einen obfuskierten Downloader. Um den Code unleserlich zu machen, nutzen die Angreifer offenbar eine String-Obfuskation, die Unicode-Befehle in Listen versteckt.

  • Der Wursthersteller warnt vor der Spam-Mail auf seiner Webseite. (Screenshot: Golem.de)
  • Die Spam-Mail enthält eine Zip-Datei. (Bild: Kevin Beaumont)
  • Der Javascript-Code ist obfuskiert. (Bild: SANS Institute/Didier Stevens)
  • Auch diese Locky-Version enthält eine Anleitung zum Entsperren der Daten. (Bild: Kevin Beaumont)
Der Wursthersteller warnt vor der Spam-Mail auf seiner Webseite. (Screenshot: Golem.de)

Weil die Jscript-Datei nur den Downloader ausführt, wurde sie von Antivirenprogrammen zunächst nicht als Virus erkannt. Ist Locky nachgeladen, wird das Programm ausgeführt und verhält sich danach entsprechend der vorher verbreiteten Version: Alle Dateien auf dem Rechner, aber auch jene auf per USB oder Netzwerk verbundenen Speichermedien, werden verschlüsselt. Locky fordert dann ein Lösegeld von 0,5 Bitcoin - derzeit etwa 190 Euro. Wer die Infektion des Rechners feststellt, aber schnell genug reagiert, kann unter Umständen noch unverschlüsselte, von Windows angelegte Schattenkopien retten. Mit spezieller Software können diese wiederhergestellt werden, wenn die betroffene Festplatte an einem sauberen Gerät gemountet wird.

Wursthersteller wird von Locky-Opfern angerufen

Der angebliche Rechnungssteller aus Ludwigslust hat derzeit unter der Phishing-Mail zu leiden - denn das Unternehmen existiert tatsächlich. Seitdem die E-Mails am Freitag erstmals aufgetaucht sind, wird das Unternehmen von Locky-Opfern angerufen und angeschrieben, wie ein IT-Verantwortlicher des Unternehmens heise.de sagte. Einige Opfer wollen sogar Schadenersatzforderungen geltend machen - obwohl das Unternehmen nichts mit der Verbreitung oder Entwicklung der Malware zu tun hat. Auf der Homepage des Unternehmens wird derzeit daher vor dem Öffnen des Anhangs gewarnt.

Nachtrag vom 24. Februar 2016, 15:55 Uhr

Ursprünglich hatten wir geschrieben, dass es sich um eine Javascript-Datei handelt. Tatsächlich hat die Datei die Endung .js - ist aber eine Jscript-Datei. Wir haben das im Text jetzt korrigiert.


eye home zur Startseite
paranoidandroid 25. Jun 2016

Aktualisieren: ShadowExplorerhttp://www.shadowexplorer.com/ und dieser Anleitunghttp...

Petterson 09. Mär 2016

... mit einer js datei in einem zip. https://gist.github.com/danieltroger...

.hiro 25. Feb 2016

Neben diesem Fax, hatte ich auch noch eine Rechnung von Winvest mit Locky .h

v2nc 25. Feb 2016

Anti VM/Sandbox ist eins von vielen Features eines sogenannten "Trojaner Baukastens...

Bogggler 24. Feb 2016

Teslacrypt wurde ja offenbar auch über driveby verbreitet. Gibts da schon nähere Infos?



Anzeige

Stellenmarkt
  1. Atlas Copco - Synatec GmbH, Stuttgart
  2. Ratbacher GmbH, Berlin
  3. EDAG Production Solutions GmbH & Co. KG, München, Sindelfingen, Ingolstadt
  4. LEDVANCE GmbH, Garching bei München


Anzeige
Blu-ray-Angebote
  1. Einzelne Folge für 2,99€ oder ganze Staffel für 19,99€ kaufen (Amazon Video)
  2. 299,99€ (Vorbesteller-Preisgarantie)
  3. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)

Folgen Sie uns
       


  1. Itchy Nose

    Die Nasensteuerung fürs Smartphone

  2. Apple

    Swift 4 erleichtert Umgang mit Strings und Collections

  3. Redundanz

    AEG stellt Online-USV für den 19-Zoll-Serverschrank vor

  4. Drei

    Netzanbieter warnt vor Upgrade auf iOS 11

  5. Microsoft

    Zusatzpaket bringt wichtige Windows-Funktionen für .Net Core

  6. Olympus Tough TG5 vs. Nikon Coolpix W300

    Die Schlechtwetter-Kameras

  7. Elektroauto

    Elektrobus stellt neuen Reichweitenrekord auf

  8. Apple

    Xcode 9 bringt Entwicklertools für CoreML und Metal 2

  9. Messenger

    Wire-Server steht komplett unter Open-Source-Lizenz

  10. Smart Glass

    Amazon plant Alexa-Brille



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Wireless Qi: Wie die Ikealampe das iPhone lädt
Wireless Qi
Wie die Ikealampe das iPhone lädt
  1. Noch kein Standard Proprietäre Airpower-Matte für mehrere Apple-Geräte

E-Paper-Tablet im Test: Mit Remarkable machen digitale Notizen Spaß
E-Paper-Tablet im Test
Mit Remarkable machen digitale Notizen Spaß
  1. Smartphone Yotaphone 3 kommt mit großem E-Paper-Display
  2. Display E-Ink-Hülle für das iPhone 7

Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

  1. Re: was kann man da denn schon falsch machen?

    maci23 | 14:56

  2. Re: Kontrollzentrum GPS deaktivieren?

    johnDOE123 | 14:54

  3. Ich pople nicht, ich texte!

    Kein Kostverächter | 14:53

  4. Re: Als Android-Nutzer beneide ich euch

    Lapje | 14:53

  5. Re: Das fällt jetzt auf? Wofür gibt es Beta...

    maci23 | 14:51


  1. 14:28

  2. 13:55

  3. 13:40

  4. 12:59

  5. 12:29

  6. 12:00

  7. 11:32

  8. 11:17


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel