Neue Masche: Krypto-Trojaner Locky über Javascript-Dateien verbreitet

Posted on Posted in Hacker News

Nachdem der Verschlüsselungs-Trojaner zunächst vor allem über Office-Dateien verbreitet wurde, verschicken die Täter jetzt Skripte. Dadurch ist ein Ludwigsluster Wursthersteller unfreiwillig zur Anlaufstelle der Locky-Opfer geworden.

Der auf Windows-Rechner zielende Verschlüsselungs-Trojaner Locky wird inzwischen auch über Skript-Dateien verbreitet, die täuschend echt aussehenden Rechungs-Mails anhängen. Zuvor nutzten die Täter vor allem Office-Dateien mit Makro-Code und Exploit-Kits, um den Schädling unter die Leute zu bringen. Durch den neuen Verbreitungsweg waren die Online-Ganoven den Virenscannern wieder einen Schritt voraus. Ein Ludwigsluster Wursthersteller hat sich unterdessen unfreiwillig zur zentralen Anlaufstelle der Locky-Opfer entwickelt.

Fleisch-_und_Wurstwaren-e1880a32ecc8b2a1

Get Locky – mit Javascript

Am Freitagmorgen begannen die Täter, verseuchte Mails über ein Botnet zu verschicken. Der variierende Betreff lautet etwa Rechnung Nr. 2016_131, der Absender zum Beispiel fueldner6D@lfw-ludwigslust.de. Der Empfänger wird im Namen der Ludwigsluster Fleisch- und Wurstspezialitäten GmbH in einwandfreiem Deutsch aufgefordert, die angehängte Rechnung zu öffnen und den Adressaten zu korrigieren. Im Anhang findet sich ein ZIP-Archiv nach dem Muster RG843841155137-SIG.zip, das eine Javascript-Datei enthält. Wer neugierig geworden ist und das Skript ausführt, fängt sich umgehend den Verschlüsselungs-Trojaner ein.

Eine Analyse des obfuskierten Skripts zeigt, dass es sich um einen Downloader handelt, der den eigentlichen Locky-Trojaner nachlädt und ausführt. Locky durchsucht anschließend die Festplatte und Netzwerkfreigaben und verschlüsselte alle Dateien, die seinem Besitzer potenziell lieb und teuer sind: Dokumente, Bilder, Projekte und mehr. Wer wieder auf die Dateien zugreifen will, soll ein Lösegeld in Höhe von 0,5 Bitcoin zahlen – umgerechnet rund 190 Euro. Was man im Fall der Fälle möglicherweise noch retten kann, ohne auf die Forderung des Erpressungs-Trojaners einzugehen, wird in “Krypto-Trojaner Locky: Was tun gegen den Windows-Schädling” beschrieben .

BSI rät zu Backups

Wer auf Nummer sicher gehen will, muss seine Dateien sichern. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) macht aktuell darauf aufmerksam, dass: “regelmäßig angelegte Daten- und System-Backups im Falle einer Infektion durch einen Verschlüsselungs-Trojaner (Ransomware) oft die einzige Möglichkeit [sind], die betroffenen Dateien und Systeme wiederherzustellen und größeren Schaden zu vermeiden.” Dabei ist darauf zu achten, dass der Sicherungs-Datenträger nicht dauerhaft mit dem System verbunden ist, da der Trojaner sich auch über USB-Festplatten und -Sticks hermacht.

Das BSI empfiehlt, auch jene Daten zu sichern, die sich auf Smartphone, Tablet und auf einem Cloud-Speicher befinden. Tatsächlich kann Ransomware wie Locky auch Dateien in der Cloud verschlüsseln, wenn Ordner des befallenes Systems automatisch mit Internetspeicher synchronisiert werden. In diesem Fall wird das Synchronisations-Tool die Datei in der Cloud nach dem Befall durch die verschlüsselte Version ersetzen.

Und der Wursthersteller?

Der Wursthersteller hat nichts mit der Verbreitung des Schädlings zu tun, die Cyber-Kriminellen haben lediglich dessen Daten missbraucht. Das ist vielen Empfängern offenbar jedoch nicht bewusst: Die Ludwigsluster Fleisch- und Wurstspezialitäten GmbH wird seit Freitag mit Mails und Anrufen der Betroffenen überflutet, wie ein IT-Verantwortlicher des Unternehmens gegenüber heise Security beklagte.

Einige Opfer kündigten sogar Schadenersatzforderungen gegen den Fleischverarbeiter an. Aber auch Fehlermails fremder Mail-Server machen dem Unternehmen zu schaffen: Oft existieren die Mail-Adressen nicht, an die das Botnet die Virenpost zu schicken versucht oder die Mail fällt durch den Viren-Check. Dann bekommt der Ludwigsluster Wursthersteller Post, da er als Absender angegeben ist.

Durch die Mailflut wurde die Infrastruktur des Unternehmens am Freitag für sechs bis sieben Stunden lahm gelegt, erklärte der IT-Verantwortliche. “Die Situation ist schwierig für uns und wir wissen nicht, wie wir damit umgehen sollen.” Bei der Trojaner-Mail soll es sich um die Kopie einer Mail handeln, die im Jahr 2013 verschickt wurde – freilich ohne den angehängten Virus. Das Unternehmen hat inzwischen Strafanzeige gegen unbekannt gestellt und hat auf seiner Homepage den deutlichen Hinweis installiert, dass man nicht hinter den Viren-Mails steckt und diese auf keinen Fall öffnen soll.

Wie man sich vor Verschlüsselungs-Trojanern wie Locky schützt und was man nach einer Infektion noch retten kann, erfahren Sie hier:

Krypto-Trojaner Locky: Was tun gegen den Windows-Schädling

Quelle: heise.de

Facebooktwittergoogle_plus