Erpressungstrojaner Locky und kein Ende

Erpressungstrojaner Locky und kein Ende

Nachdem mit TeslaCrypt schon Ende 2015 eine Welle erpresserischer Virensoftware durch das Netz rollte, hat ein Nachfolger nicht lange auf sich warten lassen. Locky ist sein Name. Er treibt seit Mitte Februar sein Unwesen und hatte es zunächst vor allem auf Krankenhäuser abgesehen. In Nordrhein-Westfalen waren mehrere Kliniken betroffen und mussten ihre IT-Systeme komplett herunterfahren – mit entsprechenden Folgen für den Klinikbetrieb.

Das Muster ist ganz ähnlich wie bei TeslaCrypt: Der Virus gelangt über einen per Mail verschickten Anhang ins System. Bei Locky sind es vornehmlich Word-Dokumente, getarnt als Rechnungen, die tatsächlich aber Makros enthalten. Wird das Dokument unachtsam geöffnet, beginnt Locky sofort, sämtliche Dateien auf dem Rechner zu verschlüsseln und sich in Netzwerken zu verbreiten. Die Entschlüsselung der Dateien ist nur gegen Zahlung eines Lösegeldes möglich. Danach erhält das Opfer ein Entschlüsselungs-Werkzeug samt zugehörigem Schlüssel, mit dem der Zugriff auf die eigenen Dateien wieder hergestellt werden kann.

Locky macht seine Arbeit äußerst gründlich: er scannt die Festplatte oder Netzlaufwerke nach mehr als 150 verschiedenen Dateitypen und verschlüsselt alles, was er finden kann. Die verschlüsselten Dateien tragen sämtlich die Dateiendung .locky – ein untrügliches Zeichen dafür, dass der Virus zugeschlagen hat. Auch vor sogenannten Schattenkopien macht er nicht halt. Diese werden von Windows-Systemen automatisch angelegt und können – theoretisch – ein Rettungsanker sein, um die Original-Dateien wiederherzustellen.

Nach derzeitigem Stand ist die Zahlung des Lösegeldes von ca. 360 Euro die einzige Möglichkeit, die Dateien zu retten, wenn man keine externen Sicherheitskopien besitzt.

Seit dieser Woche nun ist Locky in neuem Gewand unterwegs. Er kommt zwar weiterhin per Mail, aber nicht mehr mit einer Rechnung im Anhang, sondern mit der Mitteilung, der Empfänger habe ein Fax erhalten. Betroffen ist z.B. der VoIP-Provider sipgate, dessen Benachrichtigungsmails über einen Faxeingang die Erpresser täuschend echt nachgestellt haben.

Der Betreff lautet “Neues Fax von 02102-395****. In der Mail heißt es dann: “Sie haben ein neues Fax in Ihrer Ereignisliste! Um das Fax zu lesen, bitte den Anhang öffnen”. Dass die Mail gar nicht von sipgate stammt, erfährt man nur, wenn man den Header der E-Mail genauer unter die Lupe nimmt – was der “normale” Anwender wohl eher selten tut.

Ebenso einfach wie effektiv ist auch diese Mail-Variante: Locky versteckt sich auch hier im Anhang, der diesmal aber vermeintlich von einem Scanner oder Kopierer verschickt wurde. Der Betreff lautet “Scanned image”, der Hinweistext in der Mail “Image data in PDF format has been attached to this email”. Multifunktionsgeräte und Kopierer mit E-Mail-Funktion verschicken derartige Nachrichten und dürften somit bei vielen Anwendern keinen Verdacht erregen.

Umso wichtiger ist und bleibt es, am besten jede – jede! – eingehende Mail aufmerksam zu prüfen und kritisch abzuwägen, ob der Anhang geöffnet werden muss. Im Zweifel hilft ein Klick weniger, Unheil zu verhindern.

Quellen & weitere Informationen:
Computerviren legen Systeme mehrerer Kliniken in NRW lahm (zdnet.de)
Mehrere Krankenhäuser von Malware befallen (golem.de)
Erpressungs-Trojaner Locky schlägt offenbar koordiniert zu (heise.de)
Ransomware „Locky“ verbreitet sich über Word-Dokumente (zdnet.de)
Cyber-Attacke wohl Erpressungsversuch (rp-online.de)
Krypto-Trojaner Locky: Was tun gegen den Windows-Schädling (heise.de)
Neue Virenwelle: Krypto-Trojaner Locky tarnt sich als Fax (heise.de)

Bild:
Auf der Grundlage von Tony Werman, Movie-Matrix-wallpaper, Attribution 2.0 Generic (CC BY 2.0)

Share this post

Leave a Reply

Your email address will not be published. Required fields are marked *