Verschlüsselungstrojaner Locky

Seit Februar folgt eine Locky-Infektionswelle nach der nächsten. Die Windows-Anwender werden per Drive-by-Download oder über einen E-Mail-Anhang attackiert. Nach der Infektion verschlüsselt das Schadprogramm einzelne Dateien oder gar ganze Festplatten und fordert von seinem Opfer eine anonyme Lösegeldzahlung in Bitcoin. Locky findet hierzulande massenhaft Opfer, darunter auch namhafte Unternehmen und Institutionen. Der Trojaner verändert sich nahezu wöchentlich und ist unter anderem unter folgenden Namen bekannt:

- Ransom: Win32/Locky.A:

- TrojanDownloader: O97M/Bartallex

- TrojanDownloader: BAT/Locky.A

- TrojanDownloader: JS/Locky.A

Verschlüsseln und erpressen

Der Name "Locky" deutet bereits auf seine Funktion hin. Die Ransomware verschlüsselt Dateien auf dem betroffenen Computer, Netzlaufwerken und durch Synchronisierung auch in der Cloud. Diese Daten können nur wiederhergestellt werden, wenn Sie den Entschlüsselungsschlüssel besitzen oder Kopien der Dateien auf einem externen, nicht betroffenen Speichermedium angefertigt haben. Locky sucht gezielt nach Audio-, Dokument-, Video-, Bild-, Datenbank- und Archivdateien. Sobald der Trojaner diese Dateien gefunden hat, verschlüsselt er sie mit AES. Darüber hinaus löscht die Malware auch Volumenschattenkopien, die für das Wiederherstellen der verschlüsselten Dateien verwendet werden könnten.

Ist die Verschlüsselung abgeschlossen, hinterlegt Locky eine Lösegeldforderung und richtet zudem einen Desktop-Hintergrund ein, der dieselben Informationen wie in der Lösegeldforderung enthält. So wird verlangt, dass Betroffene das Lösegeld von 0,5 bis 1 Bitcoin (etwa 200 bis 400 Euro) an die Cyberkriminellen transferieren. Im Gegenzug sollen sie den privaten Schlüssel für die Entschlüsselung der Dateien erhalten.

Der Erpressungstrojaner verbreitet sich aktuell insbesondere in Deutschland

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.