Abo
  • Services:

Verschlüsselungstrojaner: Locky-Derivat hat eine Schwachstelle

Ein Erpressungstrojaner gibt vor, die Schadsoftware Locky zu sein. Doch die Entwickler der Ransomware Autolocky sollen einen dummen Fehler gemacht haben, der eine Entschlüsselung ermöglicht.

Artikel veröffentlicht am ,
Die Erpresserbotschaft imitiert Locky.
Die Erpresserbotschaft imitiert Locky. (Bild: Bleepingcomputers)

Beinahe täglich tauchen neue Verschlüsselungstrojaner auf. Bei der Ransomware Autolocky versuchen die Macher offenbar, die Bekanntheit der Schadsoftware Locky mittels eines ähnlichen Namens auszunutzen, wie die Ransomware-Experten von Bleepingcomputers schreiben. Ein Fehler ermöglicht derzeit aber die Wiederherstellung der Dateien. Wie genau die Ransomware verbreitet wird, ist noch unklar. Sie tarnt sich aber mit dem Adobe PDF-Icon, könnte also über gefälschte Mail-Anhänge verbreitet werden.

Stellenmarkt
  1. WBS GRUPPE, Berlin
  2. Deutsches Krebsforschungszentrum (DKFZ), Heidelberg

Autolocky wurde nicht wie sein Vorbild in Visual C++ entwickelt, sondern in der Skriptsprache Autoit. Diese wurde ursprünglich zum einfacheren Rollout von Programmen auf Windows-Systemen geschaffen, ermöglicht aber auch die Entwicklung ganzer Programme. Malware-Forscher können das fertige Skript mit geringem Aufwand wieder in fast den exakten Quelltext übersetzten und so die Funktionsweise analysieren.

Autolocky nutzt kein Tor

Anders als Locky verändert Autolocky die Dateinamen nicht. An den ursprünglichen Namen wird also einfach nur die Endung .locky angehängt. Ebenfalls im Unterschied zum Vorbild verwendet Autolocky nicht das Tor-Netzwerk, um die Verbindungen zu verschleiern. Der Command-and-Control-Server findet sich unter crazyloading.cc.

Außerdem werden die Volume-Shadow-Kopien der Daten nicht gelöscht, was eine Wiederherstellung erleichtert. Der Sicherheitsforscher Fabian Wosar schrieb auf Twitter, die Entwickler hätten einen "lachhaften" Fehler gemacht, der eine einfache Entschlüsselung der Daten ermögliche. Um welchen Fehler es sich dabei genau handelt, schreibt Wosar nicht.

Wer von der Ransomware befallen ist, sollte zunächst über den Taskmanager den entsprechenden Prozess ausschalten. Der Name findet sich im Autostartordner unter dem Pfad %UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk.

Ist der Prozess beendet, kann das Tool decrypt_autolocky.exe heruntergeladen werden, die weiteren Schritt erfordern keinen besonderen Einsatz vom Nutzer.

Zu den Kommentaren springen
Meistgelesen
  1. Lokaler Netzbetreiber
    Inexio baut Glasfaser, auch wenn es sich nicht lohnt
  2. Amazon vs. Google
    Youtube kommt auf Fire TV, Prime Video auf Chromecast
  3. Playstation 4
    Sony verschärft Richtlinien über sexuelle Inhalte
  4. Noctua NH-U12A im Test
    Lautlos, leistungsstark, luxuriös
  5. Subdomain Takeover
    Microsoft verliert Kontrolle über Windows-Kacheln
Anzeige
Top-Angebote
  1. 99,00€
  2. (u. a. Outward 31,99€, Dirt Rally 2.0 Day One Edition 24,29€, Resident Evil 7 6,99€, Football...
  4. 319,90€ (Bestpreis!)
Kommentarübersicht
Re: Auotit3? kein wunder das es schon wieder...
Schnuecks 20. Apr 2016

Dann lass die UPX Komprimierung weg. Seitdem wird nix mehr verdächtigt bei mir.

Re: lachhafter Fehler
EpicLPer 20. Apr 2016

Für jemanden wie dich, mich, und tausende andere die Golem lesen lachhaft und schnell...

Folgen Sie uns
       
Sekiro - Test

Ein einsamer Kämpfer und sein Katana stehen im Mittelpunkt von Sekiro - Shadows Die Twice. Das Actionspiel von From Software schickt Spieler in ein spannendes Abenteuer voller Herausforderungen.

Sekiro - Test Video aufrufen
Urheberrecht
Programmierer: Wenn der Urheber gegen das Urheberrecht verliert
Programmierer
Wenn der Urheber gegen das Urheberrecht verliert

Der nun offiziell beendete GPL-Streit zwischen Linux-Entwickler Christoph Hellwig und VMware zeigt eklatant, wie schwer sich moderne Software-Entwicklung im aktuellen Urheberrecht abbilden lässt. Immerhin wird klarer, wie derartige Klagen künftig gestaltet werden müssen.
Eine Analyse von Sebastian Grüner

  1. Urheberrecht Frag den Staat darf Glyphosat-Gutachten nicht publizieren
  2. Vor der Abstimmung Mehr als 100.000 Menschen demonstrieren gegen Uploadfilter
  3. Uploadfilter SPD setzt auf Streichung von Artikel 13
Active Noise Cancellation
ANC-Kopfhörer im Test: Mit Ach und Krach
ANC-Kopfhörer im Test
Mit Ach und Krach

Der neue ANC-Kopfhörer von Audio Technica ist in einem Bereich sogar besser als unsere derzeitigen Favoriten von Sony und Bose - ausgerechnet in der entscheidenden Disziplin schwächelt er aber.
Ein Test von Ingo Pakalski

  1. Surface Headphones Microsofts erster ANC-Bluetooth-Kopfhörer kostet 380 Euro
  2. Sonys WH-1000XM3 Oberklasse-ANC-Kopfhörer hat Kälteprobleme
  3. Sony-Kopfhörer WH-1000XM3 im Test Eine Oase der Stille oder des puren Musikgenusses
Leistungsschutzrecht
Leistungsschutzrecht: Das Lügen geht weiter
Leistungsschutzrecht
Das Lügen geht weiter

Selbst nach der Abstimmung über die EU-Urheberrechtsreform gehen die "Lügen für das Leistungsschutzrecht" weiter. Auf dieser Basis darf die Regierung nicht final den Plänen zum Leistungsschutzrecht zustimmen.
Eine Analyse von Friedhelm Greis

  1. Urheberrechtsreform Was das Internet nicht vergessen sollte
  2. Urheberrecht Uploadfilter und Leistungsschutzrecht endgültig beschlossen
  3. Urheberrecht Merkel bekräftigt Zustimmung zu Uploadfiltern
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /