Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Verschlüsselungstrojaner: Locky-Derivat hat eine Schwachstelle

Ein Erpressungstrojaner gibt vor, die Schadsoftware Locky zu sein. Doch die Entwickler der Ransomware Autolocky sollen einen dummen Fehler gemacht haben, der eine Entschlüsselung ermöglicht.
/ Hauke Gierow
5 Kommentare News folgen (öffnet im neuen Fenster)
Die Erpresserbotschaft imitiert Locky. (Bild: Bleepingcomputers)
Die Erpresserbotschaft imitiert Locky. Bild: Bleepingcomputers

Beinahe täglich tauchen neue Verschlüsselungstrojaner auf. Bei der Ransomware Autolocky versuchen die Macher offenbar, die Bekanntheit der Schadsoftware Locky mittels eines ähnlichen Namens auszunutzen, wie die Ransomware-Experten von Bleepingcomputers(öffnet im neuen Fenster) schreiben. Ein Fehler ermöglicht derzeit aber die Wiederherstellung der Dateien. Wie genau die Ransomware verbreitet wird, ist noch unklar. Sie tarnt sich aber mit dem Adobe PDF-Icon, könnte also über gefälschte Mail-Anhänge verbreitet werden.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
ERP Business Consultant Finance - MS Dynamics 365 (m/w/d) LR Global Holding GmbH, Ahlen (öffnet im neuen Fenster)
Administrator*in für den IT-Service Storage IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)
Backend-Developer (m/w/d) Cloud & Fullstack HOCHTIEF PPP Solutions GmbH, Essen,Würzburg (öffnet im neuen Fenster)
SAP Anwendungsbetreuer:in (m/w/x) Hochschule Reutlingen, Reutlingen (öffnet im neuen Fenster)
Spezialist/in Auslagerungsmanagement und IKT-Dienstleistung (#Mensch) Raiffeisenbank eG, Trittau (öffnet im neuen Fenster)
Manager Group Reporting (m/w/d) Dr. August Wolff GmbH & Co. KG Arzneimittel, Bielefeld (öffnet im neuen Fenster)
Leiter Prozessentwicklung (m/w/d) EKATO FLUID GmbH, Lörrach (öffnet im neuen Fenster)
IT-Systemadministrator (m/w/d) Stadt Freiberg a. N., Freiberg am Neckar (öffnet im neuen Fenster)

Autolocky wurde nicht wie sein Vorbild in Visual C++ entwickelt, sondern in der Skriptsprache Autoit. Diese wurde ursprünglich zum einfacheren Rollout von Programmen auf Windows-Systemen geschaffen, ermöglicht aber auch die Entwicklung ganzer Programme. Malware-Forscher können das fertige Skript mit geringem Aufwand wieder in fast den exakten Quelltext übersetzten und so die Funktionsweise analysieren.

Autolocky nutzt kein Tor

Anders als Locky verändert Autolocky die Dateinamen nicht. An den ursprünglichen Namen wird also einfach nur die Endung .locky angehängt. Ebenfalls im Unterschied zum Vorbild verwendet Autolocky nicht das Tor-Netzwerk, um die Verbindungen zu verschleiern. Der Command-and-Control-Server findet sich unter crazyloading.cc.

Außerdem werden die Volume-Shadow-Kopien der Daten nicht gelöscht, was eine Wiederherstellung erleichtert. Der Sicherheitsforscher Fabian Wosar schrieb auf Twitter, die Entwickler hätten einen "lachhaften" Fehler gemacht, der eine einfache Entschlüsselung der Daten ermögliche. Um welchen Fehler es sich dabei genau handelt, schreibt Wosar nicht.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Wer von der Ransomware befallen ist, sollte zunächst über den Taskmanager den entsprechenden Prozess ausschalten. Der Name findet sich im Autostartordner unter dem Pfad %UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk.

Ist der Prozess beendet, kann das Tool decrypt_autolocky.exe(öffnet im neuen Fenster) heruntergeladen werden, die weiteren Schritt erfordern keinen besonderen Einsatz vom Nutzer.

Zur Startseite 5 Kommentare

Relevante Themen

VerschlüsselungSoftwareProgrammiersprachenSecurityCybercrimeWissenInnovation & ForschungWirtschaftUnternehmenStart-up