Abo
  • Services:
Anzeige
Die Erpresserbotschaft imitiert Locky.
Die Erpresserbotschaft imitiert Locky. (Bild: Bleepingcomputers)

Verschlüsselungstrojaner: Locky-Derivat hat eine Schwachstelle

Die Erpresserbotschaft imitiert Locky.
Die Erpresserbotschaft imitiert Locky. (Bild: Bleepingcomputers)

Ein Erpressungstrojaner gibt vor, die Schadsoftware Locky zu sein. Doch die Entwickler der Ransomware Autolocky sollen einen dummen Fehler gemacht haben, der eine Entschlüsselung ermöglicht.

Beinahe täglich tauchen neue Verschlüsselungstrojaner auf. Bei der Ransomware Autolocky versuchen die Macher offenbar, die Bekanntheit der Schadsoftware Locky mittels eines ähnlichen Namens auszunutzen, wie die Ransomware-Experten von Bleepingcomputers schreiben. Ein Fehler ermöglicht derzeit aber die Wiederherstellung der Dateien. Wie genau die Ransomware verbreitet wird, ist noch unklar. Sie tarnt sich aber mit dem Adobe PDF-Icon, könnte also über gefälschte Mail-Anhänge verbreitet werden.

Anzeige

Autolocky wurde nicht wie sein Vorbild in Visual C++ entwickelt, sondern in der Skriptsprache Autoit. Diese wurde ursprünglich zum einfacheren Rollout von Programmen auf Windows-Systemen geschaffen, ermöglicht aber auch die Entwicklung ganzer Programme. Malware-Forscher können das fertige Skript mit geringem Aufwand wieder in fast den exakten Quelltext übersetzten und so die Funktionsweise analysieren.

Autolocky nutzt kein Tor

Anders als Locky verändert Autolocky die Dateinamen nicht. An den ursprünglichen Namen wird also einfach nur die Endung .locky angehängt. Ebenfalls im Unterschied zum Vorbild verwendet Autolocky nicht das Tor-Netzwerk, um die Verbindungen zu verschleiern. Der Command-and-Control-Server findet sich unter crazyloading.cc.

Außerdem werden die Volume-Shadow-Kopien der Daten nicht gelöscht, was eine Wiederherstellung erleichtert. Der Sicherheitsforscher Fabian Wosar schrieb auf Twitter, die Entwickler hätten einen "lachhaften" Fehler gemacht, der eine einfache Entschlüsselung der Daten ermögliche. Um welchen Fehler es sich dabei genau handelt, schreibt Wosar nicht.

Wer von der Ransomware befallen ist, sollte zunächst über den Taskmanager den entsprechenden Prozess ausschalten. Der Name findet sich im Autostartordner unter dem Pfad %UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk.

Ist der Prozess beendet, kann das Tool decrypt_autolocky.exe heruntergeladen werden, die weiteren Schritt erfordern keinen besonderen Einsatz vom Nutzer.


eye home zur Startseite
Schnuecks 20. Apr 2016

Dann lass die UPX Komprimierung weg. Seitdem wird nix mehr verdächtigt bei mir.

EpicLPer 20. Apr 2016

Für jemanden wie dich, mich, und tausende andere die Golem lesen lachhaft und schnell...



Anzeige

Stellenmarkt
  1. ROHDE & SCHWARZ GmbH & Co. KG, München
  2. MEMMERT GmbH + Co. KG, Schwabach (Metropolregion Nürnberg)
  3. FILIADATA GmbH, Karlsruhe (Home-Office)
  4. Haufe Gruppe, Freiburg im Breisgau


Anzeige
Spiele-Angebote
  1. (-20%) 55,99€
  2. 28,99€
  3. (-50%) 19,99€

Folgen Sie uns
       


  1. Heiko Maas

    "Kein Wunder, dass Facebook seine Vorgaben geheim hält"

  2. Virtual Reality

    Oculus Rift unterstützt offiziell Roomscale-VR

  3. FTP-Client

    Filezilla bekommt ein Master Password

  4. Künstliche Intelligenz

    Apple arbeitet offenbar an eigenem AI-Prozessor

  5. Die Woche im Video

    Verbogen, abgehoben und tiefergelegt

  6. ZTE

    Chinas großes 5G-Testprojekt läuft weiter

  7. Ubisoft

    Far Cry 5 bietet Kampf gegen Sekte in und über Montana

  8. Rockstar Games

    Waffenschiebereien in GTA 5

  9. Browser-Games

    Unreal Engine 4.16 unterstützt Wasm und WebGL 2.0

  10. Hasskommentare

    Bundesrat fordert zahlreiche Änderungen an Maas-Gesetz



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Debatte nach Wanna Cry: Sicherheitslücken veröffentlichen oder zurückhacken?
Debatte nach Wanna Cry
Sicherheitslücken veröffentlichen oder zurückhacken?
  1. Sicherheitslücke Fehlerhaft konfiguriertes Git-Verzeichnis bei Redcoon
  2. Hotelketten Buchungssystem Sabre kompromittiert Zahlungsdaten
  3. Onlinebanking Betrüger tricksen das mTAN-Verfahren aus

Sphero Lightning McQueen: Erst macht es Brummbrumm, dann verdreht es die Augen
Sphero Lightning McQueen
Erst macht es Brummbrumm, dann verdreht es die Augen

Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

  1. Re: Anbindung an Passwortmanager

    Vanger | 23:26

  2. Re: Mal ne dumme Gegenfrage:

    Apollo13 | 22:54

  3. Re: Diese ganzen Online DLCs nerven langsam!

    TC | 22:45

  4. Re: Siri und diktieren

    rabatz | 22:37

  5. Re: Machen wir doch mal die Probe aufs Exempel

    Phantom | 22:31


  1. 12:54

  2. 12:41

  3. 11:44

  4. 11:10

  5. 09:01

  6. 17:40

  7. 16:40

  8. 16:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel