Abo
  • Services:

Ransomware: Locky kommt jetzt auch über Jscript

Eine Spam-Kampagne verteilt die Locky-Ransomware jetzt auch über Jscript-Anhänge in E-Mails - die angeblich von einem Wursthersteller kommen.

Artikel veröffentlicht am ,
Der Wursthersteller hat nichts mit den Rechnungen zu tun - und warnt auf seiner Webseite.
Der Wursthersteller hat nichts mit den Rechnungen zu tun - und warnt auf seiner Webseite. (Bild: Screenshot Golem.de)

Die Ransomware Locky grassiert derzeit in Deutschland - zeitweise gab es mehr als 5.000 Infektionen pro Stunde. Jetzt ist ein neuer Verbreitungsweg der Malware aufgetaucht - Nutzer bekommen Spam-Mails mit einem Jscript-Anhang. Die E-Mails enthalten vorgeblich Rechnungen und stammen angeblich von einem mittelständischen Wursthersteller aus Ludwigslust.

Stellenmarkt
  1. 50Hertz Transmission GmbH, Berlin
  2. Stadt Esslingen am Neckar, Esslingen am Neckar

Die E-Mails enthalten eine Zip-Datei, die wiederum eine Jscript-Datei beinhaltet. Klicken Nutzer diese Datei an, wird Locky installiert. Die Datei selbst enthält keinen Schadcode, sondern lediglich einen obfuskierten Downloader. Um den Code unleserlich zu machen, nutzen die Angreifer offenbar eine String-Obfuskation, die Unicode-Befehle in Listen versteckt.

  • Der Wursthersteller warnt vor der Spam-Mail auf seiner Webseite. (Screenshot: Golem.de)
  • Die Spam-Mail enthält eine Zip-Datei. (Bild: Kevin Beaumont)
  • Der Javascript-Code ist obfuskiert. (Bild: SANS Institute/Didier Stevens)
  • Auch diese Locky-Version enthält eine Anleitung zum Entsperren der Daten. (Bild: Kevin Beaumont)
Der Wursthersteller warnt vor der Spam-Mail auf seiner Webseite. (Screenshot: Golem.de)

Weil die Jscript-Datei nur den Downloader ausführt, wurde sie von Antivirenprogrammen zunächst nicht als Virus erkannt. Ist Locky nachgeladen, wird das Programm ausgeführt und verhält sich danach entsprechend der vorher verbreiteten Version: Alle Dateien auf dem Rechner, aber auch jene auf per USB oder Netzwerk verbundenen Speichermedien, werden verschlüsselt. Locky fordert dann ein Lösegeld von 0,5 Bitcoin - derzeit etwa 190 Euro. Wer die Infektion des Rechners feststellt, aber schnell genug reagiert, kann unter Umständen noch unverschlüsselte, von Windows angelegte Schattenkopien retten. Mit spezieller Software können diese wiederhergestellt werden, wenn die betroffene Festplatte an einem sauberen Gerät gemountet wird.

Wursthersteller wird von Locky-Opfern angerufen

Der angebliche Rechnungssteller aus Ludwigslust hat derzeit unter der Phishing-Mail zu leiden - denn das Unternehmen existiert tatsächlich. Seitdem die E-Mails am Freitag erstmals aufgetaucht sind, wird das Unternehmen von Locky-Opfern angerufen und angeschrieben, wie ein IT-Verantwortlicher des Unternehmens heise.de sagte. Einige Opfer wollen sogar Schadenersatzforderungen geltend machen - obwohl das Unternehmen nichts mit der Verbreitung oder Entwicklung der Malware zu tun hat. Auf der Homepage des Unternehmens wird derzeit daher vor dem Öffnen des Anhangs gewarnt.

Nachtrag vom 24. Februar 2016, 15:55 Uhr

Ursprünglich hatten wir geschrieben, dass es sich um eine Javascript-Datei handelt. Tatsächlich hat die Datei die Endung .js - ist aber eine Jscript-Datei. Wir haben das im Text jetzt korrigiert.



Anzeige
Blu-ray-Angebote
  1. (u. a. Spider-Man 1-3 für 8,49€, X-Men 1-6 für 23,83€ und Batman 1-4 für 14,97€)
  2. 4,25€

paranoidandroid 25. Jun 2016

Aktualisieren: ShadowExplorerhttp://www.shadowexplorer.com/ und dieser Anleitunghttp...

Petterson 09. Mär 2016

... mit einer js datei in einem zip. https://gist.github.com/danieltroger...

.hiro 25. Feb 2016

Neben diesem Fax, hatte ich auch noch eine Rechnung von Winvest mit Locky .h

v2nc 25. Feb 2016

Anti VM/Sandbox ist eins von vielen Features eines sogenannten "Trojaner Baukastens...

Bogggler 24. Feb 2016

Teslacrypt wurde ja offenbar auch über driveby verbreitet. Gibts da schon nähere Infos?


Folgen Sie uns
       


Sony E3 2018 Pressekonferenz - Live (techn. Probleme)

Sony hatte während der Übertragung der Pressekonferenz der E3 2018 massive technische Probleme. Abseits davon waren die gezeigten Spiele aber sehr gut. Trotzdem empfehlen wir, den Abschnitt nach The Last of Us bis zu Ghost of Tsushima zu überspringen. (Minute 40-50)

Sony E3 2018 Pressekonferenz - Live (techn. Probleme) Video aufrufen
In eigener Sache: Freie Schreiber/-innen für Jobthemen gesucht
In eigener Sache
Freie Schreiber/-innen für Jobthemen gesucht

IT-Profis sind auf dem Arbeitsmarkt enorm gefragt, und die Branche hat viele Eigenheiten. Du kennst dich damit aus und willst unseren Lesern darüber berichten? Dann schreib für unser Karriere-Ressort!

  1. Leserumfrage Wie sollen wir Golem.de erweitern?
  2. Stellenanzeige Golem.de sucht Redakteur/-in für IT-Sicherheit
  3. Leserumfrage Wie gefällt Ihnen Golem.de?

Sony: Ein Kuss und viele Tode
Sony
Ein Kuss und viele Tode

E3 2018 Mit einem zärtlichen Moment in The Last of Us 2 hat Sony sein Media Briefing eröffnet - danach gab es teils blutrünstiges Gameplay plus Rätselraten um Death Stranding von Hideo Kojima.
Ein Bericht von Peter Steinlechner

  1. Smach Z ausprobiert Neuer Blick auf das Handheld für PC-Spieler
  2. The Division 2 angespielt Action rund um Air Force One
  3. Ghost of Tsushima Dynamischer Match im offenen Japan

BMW i3s im Test: Teure Rennpappe à la Karbonara
BMW i3s im Test
Teure Rennpappe à la Karbonara

Mit dem neuen BMW i3s ist man zügig in der Stadt unterwegs. Zwar ist der Kleinwagen gut vernetzt, doch die Assistenzsysteme lassen immer noch zu wünschen übrig. Trotz des hohen Preises.
Ein Praxistest von Friedhelm Greis

  1. R71-Seitenwagen BMW-Motorrad aus den 30er Jahren soll elektrifiziert werden
  2. SUV Concept iX3 zeigt BMWs elektrische Zukunft
  3. BMW Mini-Oldtimer mit E-Antrieb ausgerüstet

    •  /