Ransomware per Spam-Mail

Locky: Neue Variante missbraucht 7-Zip-Format

Die Ransomware Locky treibt als Anhang in einer E-Mail wieder ihr Unwesen. So erkennen Sie aktuelle Locky-Angriffe und schützen sich vor Cyberkriminellen.

Ransomware Locky

© kaptn - fotolia.com

Die Ransomware Locky verschlüsselt Dateien auf dem Rechner. 

Die Ransomware Locky treibt erneut ihr Unwesen, wie der Sicherheitsforscher Derek Knight entdeckte. Diesmal verbreitet sich der Erpressungs-Trojaner über Mails, mit Betreffzeilen wie "Status of Invoice". An die Mail ist eine Datei mit dem Schädling angehängt.

Als Format benutzt Locky das von 7-Zip (*.7z). Das ist eine Open-Source-Komprimierungssoftware, die Wahl des Dateiformats ist ungewöhnlich. Denn Nutzer müssen die Open-Source Komprimierungssoftware 7-Zip erst herunterladen, da sie auf Systemen nicht standardmäßig installiert ist. Erst dann lässt sich der Dateianhang, in dem sich Locky verbirgt, öffnen.

Wenn der Nutzer nun den Dateianhang aus der Mail auf den Rechner downloadet, lädt laut Bleeping Computer ein VBS-Skript im Archiv dann Locky herunter. Die Ransomware wird dann auf dem Rechner aktiv und verschlüsselt die Daten. An diese hängt Locky dann die Dateiendung "Ykcol" (Locky rückwärts) an. Wer seine Dokumente wieder sehen will, muss Lösegeld zahlen.

Dazu senden die Hacker eine HTML-Anleitung für das genaue Vorgehen mit. Die Anwender sollen eine Webseite im Tor-Browser aufsuchen. Dort erhalten sie weitere Anweisungen, wie sie die 0,25 Bitcoin - umgerechnet etwa 820 Euro - Lösegeld überweisen sollen. 

Lesetipp: Ransomware erkennen und Daten retten

Außerdem berichtet das Sicherheitsunternehmen Trend Micro von einer weiteren Locky-Masche in den USA, Deutschland und China. Die E-Mail ist als Rechnung getarnt und bietet im Link einen Download an. Nach einem Klick darauf lädt der ahnungslose Nutzer ein 7Z-Archiv mit Locky auf seinen Rechner. Bei dieser Methode verlangen die Hacker 0,7 Bitcoin (ca. 2.300 Euro) Lösegeld.  

Bislang konnte Locky noch von keinem Sicherheitsforscher geknackt werden. Ohne Backup der Daten bleibt Opfern der Cyberkriminellen nichts anderes übrig, als den geforderten Betrag in Bitcoin zu zahlen, wenn er den verschlüsselten Inhalt wieder haben möchte. Allerdings gibt es keine Garantie, dass die Daten auch tatsächlich entschlüsselt werden. Ideal ist es natürlich, bei E-Mail-Anhängen besonders vorsichtig zu sein, damit es gar nicht erst zur Infektion mit der Ransomware kommt. 

Derek Knight

Mehr zum Thema

Hohes Spam-Aufkommen im Sommer
Gefährliche E-Mail

Kriminelle schicken mit Kollegen als Absender gefälschte E-Mails an Firmen-Adressen. Worauf Sie achten müssen, um die gefährlichen E-Mails zu…
Hacker Cyberangriff Malware - Sicherheit (Symbolbild)
Erpressungs-Trojaner

Der Erpressungs-Trojaner nRansom fordert Nacktbilder statt Bitcoins. Sicherheitsexperten berichten, dass nRansom Daten jedoch gar nicht verschlüsselt.
Thunderbird
Download und Risiken

Ein neues Updates für Mozilla Thunderbird schließt kritische Sicherheitslücken des E-Mail Clients. Hier finden Sie den Download von Thunderbird 52.4.
Hacker Cyberangriff Malware - Sicherheit (Symbolbild)
Makro-Viren per Word-Datei

Die Polizei Niedersachsen warnt vor falschen DHL- und UPS-E-Mails, die eine Schadsoftware enthalten. So schützen Sie sich vor den Cyberkriminellen.
Der Passwort-Diebstahl der CyberVor-Hacker macht sich bemerkbar.
Verschlüsselungstrojaner

Die SambaCry-Sicherheitslücke ermöglicht der Ransomware​ StorageCrypt Zugriff auf NAS-Systeme. StorageCrypt verschlüsselt dann Daten und erpresst…