Ransomware per Spam-Mail

Locky: Neue Variante missbraucht 7-Zip-Format

Die Ransomware Locky treibt als Anhang in einer E-Mail wieder ihr Unwesen. So erkennen Sie aktuelle Locky-Angriffe und schützen sich vor Cyberkriminellen.

Ransomware Locky

© kaptn - fotolia.com

Die Ransomware Locky verschlüsselt Dateien auf dem Rechner. 

Die Ransomware Locky treibt erneut ihr Unwesen, wie der Sicherheitsforscher Derek Knight entdeckte. Diesmal verbreitet sich der Erpressungs-Trojaner über Mails, mit Betreffzeilen wie "Status of Invoice". An die Mail ist eine Datei mit dem Schädling angehängt.

Als Format benutzt Locky das von 7-Zip (*.7z). Das ist eine Open-Source-Komprimierungssoftware, die Wahl des Dateiformats ist ungewöhnlich. Denn Nutzer müssen die Open-Source Komprimierungssoftware 7-Zip erst herunterladen, da sie auf Systemen nicht standardmäßig installiert ist. Erst dann lässt sich der Dateianhang, in dem sich Locky verbirgt, öffnen.

Wenn der Nutzer nun den Dateianhang aus der Mail auf den Rechner downloadet, lädt laut Bleeping Computer ein VBS-Skript im Archiv dann Locky herunter. Die Ransomware wird dann auf dem Rechner aktiv und verschlüsselt die Daten. An diese hängt Locky dann die Dateiendung "Ykcol" (Locky rückwärts) an. Wer seine Dokumente wieder sehen will, muss Lösegeld zahlen.

Dazu senden die Hacker eine HTML-Anleitung für das genaue Vorgehen mit. Die Anwender sollen eine Webseite im Tor-Browser aufsuchen. Dort erhalten sie weitere Anweisungen, wie sie die 0,25 Bitcoin - umgerechnet etwa 820 Euro - Lösegeld überweisen sollen. 

Lesetipp: Ransomware erkennen und Daten retten

Außerdem berichtet das Sicherheitsunternehmen Trend Micro von einer weiteren Locky-Masche in den USA, Deutschland und China. Die E-Mail ist als Rechnung getarnt und bietet im Link einen Download an. Nach einem Klick darauf lädt der ahnungslose Nutzer ein 7Z-Archiv mit Locky auf seinen Rechner. Bei dieser Methode verlangen die Hacker 0,7 Bitcoin (ca. 2.300 Euro) Lösegeld.  

Bislang konnte Locky noch von keinem Sicherheitsforscher geknackt werden. Ohne Backup der Daten bleibt Opfern der Cyberkriminellen nichts anderes übrig, als den geforderten Betrag in Bitcoin zu zahlen, wenn er den verschlüsselten Inhalt wieder haben möchte. Allerdings gibt es keine Garantie, dass die Daten auch tatsächlich entschlüsselt werden. Ideal ist es natürlich, bei E-Mail-Anhängen besonders vorsichtig zu sein, damit es gar nicht erst zur Infektion mit der Ransomware kommt. 

Derek Knight

Mehr zum Thema

Hohes Spam-Aufkommen im Sommer
Gefährliche E-Mail

Kriminelle schicken mit Kollegen als Absender gefälschte E-Mails an Firmen-Adressen. Worauf Sie achten müssen, um die gefährlichen E-Mails zu…
Hacker Cyberangriff Malware - Sicherheit (Symbolbild)
Erpressungs-Trojaner

Der Erpressungs-Trojaner nRansom fordert Nacktbilder statt Bitcoins. Sicherheitsexperten berichten, dass nRansom Daten jedoch gar nicht verschlüsselt.
Virus entfernen
Erpressungs-Trojaner

Der Schädling Redboot verschlüsselt Daten zusammen mit dem MBR und der Partitionstabelle. Eine Entschlüsselung und Wiederherstellung scheint…
Unzählige Yahoo-Mail-Konten sollen kompromittiert worden sein.
Flickr, Yahoo Mail und Co. betroffen

Neuen Untersuchungen zufolge wurden 2013 alle (!) drei Milliarden Yahoo-Konten gehackt. Wer steckt hinter den Hackerangriffen?
Thunderbird
Download und Risiken

Ein neues Updates für Mozilla Thunderbird schließt kritische Sicherheitslücken des E-Mail Clients. Hier finden Sie den Download von Thunderbird 52.4.