Verschlüsselungstrojaner: Locky-Derivat hat eine Schwachstelle

Ein Erpressungstrojaner gibt vor, die Schadsoftware Locky zu sein. Doch die Entwickler der Ransomware Autolocky sollen einen dummen Fehler gemacht haben, der eine Entschlüsselung ermöglicht.

Artikel veröffentlicht am ,
Die Erpresserbotschaft imitiert Locky.
Die Erpresserbotschaft imitiert Locky. (Bild: Bleepingcomputers)

Beinahe täglich tauchen neue Verschlüsselungstrojaner auf. Bei der Ransomware Autolocky versuchen die Macher offenbar, die Bekanntheit der Schadsoftware Locky mittels eines ähnlichen Namens auszunutzen, wie die Ransomware-Experten von Bleepingcomputers schreiben. Ein Fehler ermöglicht derzeit aber die Wiederherstellung der Dateien. Wie genau die Ransomware verbreitet wird, ist noch unklar. Sie tarnt sich aber mit dem Adobe PDF-Icon, könnte also über gefälschte Mail-Anhänge verbreitet werden.

Stellenmarkt
  1. Projektmanagement und Projektleitung Hardware-in-the-Loop(HiL) (m/w/d)
    MicroNova AG, Kassel
  2. Senior IT-Betriebskoordinator / innen (w/m/d)
    Statistisches Bundesamt, Wiesbaden
Detailsuche

Autolocky wurde nicht wie sein Vorbild in Visual C++ entwickelt, sondern in der Skriptsprache Autoit. Diese wurde ursprünglich zum einfacheren Rollout von Programmen auf Windows-Systemen geschaffen, ermöglicht aber auch die Entwicklung ganzer Programme. Malware-Forscher können das fertige Skript mit geringem Aufwand wieder in fast den exakten Quelltext übersetzten und so die Funktionsweise analysieren.

Autolocky nutzt kein Tor

Anders als Locky verändert Autolocky die Dateinamen nicht. An den ursprünglichen Namen wird also einfach nur die Endung .locky angehängt. Ebenfalls im Unterschied zum Vorbild verwendet Autolocky nicht das Tor-Netzwerk, um die Verbindungen zu verschleiern. Der Command-and-Control-Server findet sich unter crazyloading.cc.

Außerdem werden die Volume-Shadow-Kopien der Daten nicht gelöscht, was eine Wiederherstellung erleichtert. Der Sicherheitsforscher Fabian Wosar schrieb auf Twitter, die Entwickler hätten einen "lachhaften" Fehler gemacht, der eine einfache Entschlüsselung der Daten ermögliche. Um welchen Fehler es sich dabei genau handelt, schreibt Wosar nicht.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. C++ 20: Concepts - Ranges - Coroutinen - Module
    4.-8. Oktober 2021, online
Weitere IT-Trainings

Wer von der Ransomware befallen ist, sollte zunächst über den Taskmanager den entsprechenden Prozess ausschalten. Der Name findet sich im Autostartordner unter dem Pfad %UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk.

Ist der Prozess beendet, kann das Tool decrypt_autolocky.exe heruntergeladen werden, die weiteren Schritt erfordern keinen besonderen Einsatz vom Nutzer.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Sysadmin Day 2021
Immer mit dem Ohr an der Festplatte

Zum Sysadmin Day ein Blick auf einen Beruf, den ich fast zehn Jahre ausübte und immer wieder merkte: Ohne ausgeprägte Flexibilität ist er kaum zu bewältigen.
Ein Erfahrungsbericht von Jörg Thoma

Sysadmin Day 2021: Immer mit dem Ohr an der Festplatte
Artikel
  1. Black Widow: Scarlett Johansson verklagt Disney
    Black Widow
    Scarlett Johansson verklagt Disney

    Scarlett Johansson hat wegen des Veröffentlichungsmodells von Black Widow Klage eingereicht. Disney nennt das Verhalten "herzlos".

  2. Amazon: Ältere Kindle-Modelle sind durch UMTS-Abschaltung nutzlos
    Amazon
    Ältere Kindle-Modelle sind durch UMTS-Abschaltung nutzlos

    Weltweit wird UMTS abgeschaltet - auch in Deutschland. Für Amazons erste Kindle-Modelle bedeutet das, dass keine Bücher mehr geladen werden können.

  3. Akkutechnik: CATL stellt erste Natrium-Ionen-Akkus für Autos vor
    Akkutechnik
    CATL stellt erste Natrium-Ionen-Akkus für Autos vor

    160 Wh pro Kilogramm. 80 Prozent Akkuladung in 15 Minuten. 90 Prozent Kapazität bei minus 20 Grad Celsius. CATL startet eine neue Ära der Akku-Technik.
    Eine Analyse von Frank Wunderlich-Pfeiffer

Schnuecks 20. Apr 2016

Dann lass die UPX Komprimierung weg. Seitdem wird nix mehr verdächtigt bei mir.

EpicLPer 20. Apr 2016

Für jemanden wie dich, mich, und tausende andere die Golem lesen lachhaft und schnell...



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Mega-Marken-Sparen bei MediaMarkt (u. a. Lenovo & Razer) • Tag der Freundschaft bei Saturn: 1 Produkt zahlen, 2 erhalten • Razer Deathadder V2 Pro Gaming-Maus 95€ • Alternate-Deals (u. a. Kingston 16GB Kit DDR4-3200MHz 81,90€) • Razer Kraken X Gaming-Headset 44€ [Werbung]
    •  /