Home / Aktuelles & Termine / News / Locky

Ransomware Reloaded: Warnung vor aktuell grassierender Schadsoftware

Derzeit grassiert eine Schadsoftware, welche meist per E-Mail verschickt wird und Daten verschlüsselt.

  • Die Entschlüsselung erfolgt (mit etwas Glück) gegen Bezahlung.
  • Antivirusprogramme sind meist nutzlos.
  • Wir empfehlen Awarenessmaßnahmen beim Personal, sowie einige technische Vorkehrungen
  • Sollten Sie betroffen sein oder wissen wollen, ob Sie in Gefahr sind, helfen Ihnen unsere Spezialisten gerne weiter.

Details zur Malware:

Am 15.02.2016 wurde eine neue Malware mit dem Namen „Locky“ bekannt, welche aktiv geworden ist. „Locky“ zählt zur Malware-Kategorie Ransomware. Dies bedeutet, dass die Malware lokale Dateien und Dateien auf Netzlaufwerke verschlüsselt und für den Entschlüsselungscode ein Lösegeld fordert. Das Lösegeld ist mittels Bitcoins zu bezahlen und beträgt in der Regel zwischen 300 und 1.000 EUR je infiziertes Gerät.

Die Infizierung erfolgt größtenteils über E-Mails, welche eine Rechnung enthalten soll (z.B.: Betreff: ATTN: Invoice J-12345678). Als Anhang sind bisher Word und Excel-Dateien bekannt, welche Makros enthalten (z.B.: .doc, .docm, .xls, .xlsm). Nach Öffnen der vermeintlichen Rechnung wird, sofern Makros nicht automatisch gestartet werden, ein kryptischer Text angezeigt und der Hinweis gegeben, dass zum Darstellen des Textes das Makro ausgeführt werden muss. Durch Ausführen des Makros wird der Computer infiziert. Die Malware wird permanent modifiziert und meist nicht zuverlässig durch die Virenscanner erkannt!

Im Gegensatz zu bisheriger Ransomware (z.B. Cryptowall, Chimera, Cryptolocker und Teslacrypt) wird bei „Locky“ nicht sofort nach der Infizierung mit dem Verschlüsseln begonnen. Die Malware schlummert für gewisse Zeit, so dass eine Infektion nicht einfach erkannt werden kann. Deshalb ist nun wichtig, im Falle eines Befalls ALLE infizierten Systeme zu identifizieren (sowohl Systeme mit aktiver als auch schlummernder Malware) oder, sofern noch keine Daten verschlüsselt wurden, zu prüfen, ob „Locky“ ggf. bereits auf Systemen vorhanden ist.

Durch unsere zahlreichen Erfahrungen bei der Behandlung von Malware Incidents sind wir Ihr idealer Partner. Wir können Ihnen beispielsweise helfen, indem wir

  • Sie bei der Situationsanalyse unterstützen (präventiv und reaktiv),
  • Mit Ihnen gemeinsam einen optimalen Lösungsweg entwickeln
  • Und Ihnen bei der Eindämmung des Schadenausmaßes unterstützen.

Wenn Sie Fragen haben, melden Sie sich bei unserem Incident Response Team unter +49 731 20589-0 oder per E-Mail an forensics@it-sec.de.