Abo
  • Services:
Anzeige
Der Wursthersteller hat nichts mit den Rechnungen zu tun - und warnt auf seiner Webseite.
Der Wursthersteller hat nichts mit den Rechnungen zu tun - und warnt auf seiner Webseite. (Bild: Screenshot Golem.de)

Ransomware: Locky kommt jetzt auch über Jscript

Der Wursthersteller hat nichts mit den Rechnungen zu tun - und warnt auf seiner Webseite.
Der Wursthersteller hat nichts mit den Rechnungen zu tun - und warnt auf seiner Webseite. (Bild: Screenshot Golem.de)

Eine Spam-Kampagne verteilt die Locky-Ransomware jetzt auch über Jscript-Anhänge in E-Mails - die angeblich von einem Wursthersteller kommen.

Die Ransomware Locky grassiert derzeit in Deutschland - zeitweise gab es mehr als 5.000 Infektionen pro Stunde. Jetzt ist ein neuer Verbreitungsweg der Malware aufgetaucht - Nutzer bekommen Spam-Mails mit einem Jscript-Anhang. Die E-Mails enthalten vorgeblich Rechnungen und stammen angeblich von einem mittelständischen Wursthersteller aus Ludwigslust.

Anzeige

Die E-Mails enthalten eine Zip-Datei, die wiederum eine Jscript-Datei beinhaltet. Klicken Nutzer diese Datei an, wird Locky installiert. Die Datei selbst enthält keinen Schadcode, sondern lediglich einen obfuskierten Downloader. Um den Code unleserlich zu machen, nutzen die Angreifer offenbar eine String-Obfuskation, die Unicode-Befehle in Listen versteckt.

  • Der Wursthersteller warnt vor der Spam-Mail auf seiner Webseite. (Screenshot: Golem.de)
  • Die Spam-Mail enthält eine Zip-Datei. (Bild: Kevin Beaumont)
  • Der Javascript-Code ist obfuskiert. (Bild: SANS Institute/Didier Stevens)
  • Auch diese Locky-Version enthält eine Anleitung zum Entsperren der Daten. (Bild: Kevin Beaumont)
Der Wursthersteller warnt vor der Spam-Mail auf seiner Webseite. (Screenshot: Golem.de)

Weil die Jscript-Datei nur den Downloader ausführt, wurde sie von Antivirenprogrammen zunächst nicht als Virus erkannt. Ist Locky nachgeladen, wird das Programm ausgeführt und verhält sich danach entsprechend der vorher verbreiteten Version: Alle Dateien auf dem Rechner, aber auch jene auf per USB oder Netzwerk verbundenen Speichermedien, werden verschlüsselt. Locky fordert dann ein Lösegeld von 0,5 Bitcoin - derzeit etwa 190 Euro. Wer die Infektion des Rechners feststellt, aber schnell genug reagiert, kann unter Umständen noch unverschlüsselte, von Windows angelegte Schattenkopien retten. Mit spezieller Software können diese wiederhergestellt werden, wenn die betroffene Festplatte an einem sauberen Gerät gemountet wird.

Wursthersteller wird von Locky-Opfern angerufen

Der angebliche Rechnungssteller aus Ludwigslust hat derzeit unter der Phishing-Mail zu leiden - denn das Unternehmen existiert tatsächlich. Seitdem die E-Mails am Freitag erstmals aufgetaucht sind, wird das Unternehmen von Locky-Opfern angerufen und angeschrieben, wie ein IT-Verantwortlicher des Unternehmens heise.de sagte. Einige Opfer wollen sogar Schadenersatzforderungen geltend machen - obwohl das Unternehmen nichts mit der Verbreitung oder Entwicklung der Malware zu tun hat. Auf der Homepage des Unternehmens wird derzeit daher vor dem Öffnen des Anhangs gewarnt.

Nachtrag vom 24. Februar 2016, 15:55 Uhr

Ursprünglich hatten wir geschrieben, dass es sich um eine Javascript-Datei handelt. Tatsächlich hat die Datei die Endung .js - ist aber eine Jscript-Datei. Wir haben das im Text jetzt korrigiert.


eye home zur Startseite
paranoidandroid 25. Jun 2016

Aktualisieren: ShadowExplorerhttp://www.shadowexplorer.com/ und dieser Anleitunghttp...

Petterson 09. Mär 2016

... mit einer js datei in einem zip. https://gist.github.com/danieltroger...

.hiro 25. Feb 2016

Neben diesem Fax, hatte ich auch noch eine Rechnung von Winvest mit Locky .h

v2nc 25. Feb 2016

Anti VM/Sandbox ist eins von vielen Features eines sogenannten "Trojaner Baukastens...

Bogggler 24. Feb 2016

Teslacrypt wurde ja offenbar auch über driveby verbreitet. Gibts da schon nähere Infos?



Anzeige

Stellenmarkt
  1. Continental AG, Ingolstadt
  2. Robert Bosch GmbH, Stuttgart-Feuerbach
  3. Samvardhana Motherson Innovative Autosystems B.V. & Co. KG., Michelau
  4. Dakine Shop GmbH, Ottobrunn bei München


Anzeige
Top-Angebote
  1. 2.999,00€ (Vergleichspreis ab 3.895€)
  2. 559,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Nintendo Switch eingeschaltet

    Zerstückelte Konsole und gigantisches Handheld

  2. Trappist-1

    Der Zwerg und die sieben Planeten

  3. Botnetz

    Wie Mirai Windows als Sprungbrett nutzt

  4. Server

    IBM stellt Komplettsystem für kleine Unternehmen vor

  5. Einspeisegebühr

    Netzbetreiber darf nicht nur einzelne Sender abkassieren

  6. Ultra-HD mit Dolby Vision

    Erst Harry Potter, dann die Abspielgeräte

  7. Perspective

    Google hilft, Forentrolle zu erkennen

  8. Microsoft und Gemalto

    Windows 10 bekommt native eSIM-Unterstützung

  9. Mobilfunk

    Telefónica verschlechtert Prepaid-Tarife

  10. Amazon Echo und Echo Dot im Test

    Alexa, so wird das nichts!



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
XPS 13 (9360) im Test: Wieder ein tolles Ultrabook von Dell
XPS 13 (9360) im Test
Wieder ein tolles Ultrabook von Dell
  1. Die Woche im Video Die Selbstzerstörungssequenz ist aktiviert
  2. XPS 13 Convertible im Hands on Dells 2-in-1 ist kompakter und kaum langsamer

Mechanische Tastatur Poker 3 im Test: "Kauf dir endlich Dämpfungsringe!"
Mechanische Tastatur Poker 3 im Test
"Kauf dir endlich Dämpfungsringe!"
  1. Patentantrag Apple denkt über Tastatur mit Siri-, Emoji- und Teilen-Taste nach
  2. MX Board Silent im Praxistest Der viel zu teure Feldversuch von Cherry
  3. Kanex Faltbare Bluetooth-Tastatur für mehrere Geräte gleichzeitig

Hyperloop-Challenge: Der Kompressor macht den Unterschied
Hyperloop-Challenge
Der Kompressor macht den Unterschied
  1. Arrivo Die neuen alten Hyperlooper
  2. SpaceX Die Bayern hyperloopen am schnellsten und weitesten
  3. Hyperloop HTT baut ein Forschungszentrum in Toulouse

  1. Re: "das Aufladen mit Drahtlostechnik soll...

    Kaldra | 15:08

  2. Re: Elektroautos sind nicht die Zukunft

    berritorre | 15:07

  3. Re: Na viel Glück in der Nähe von Flughäfen...

    David64Bit | 15:06

  4. Re: xD ein Smart für 22.000¤

    megaseppl | 15:03

  5. Re: Nur kleinwaagen?

    Berner Rösti | 15:02


  1. 15:04

  2. 14:19

  3. 13:48

  4. 13:30

  5. 13:18

  6. 13:11

  7. 13:01

  8. 12:56


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel