Boerse.AM (Boerse.AI/Boerse.IM/Boerse.KZ/Boerse.SX/Boerse.TW) - Einzelnen Beitrag anzeigen - Neue Locky-Variante scheitert grandios an Faulheit der Entwickler

**vladi63** · 19.02.16, 14:40

Die Verbreitung der Ransomware Locky hält die Security-Szene seit einigen Tagen in Atem. Mittlerweile liegt ein gewisser Fokus der Täter auf dem deutschsprachigen Raum: Die Erpressungs-Forderungen sind übersetzt und angepasst und die Zahl der Infektionen steigt enorm. Eigentlich ist an der Malware wenig Besonderes. Auf infizierten Rechnern werden verschiedene Datei-Formate verschlüsselt, bei denen anzunehmen ist, dass es sich um eigene Daten der Nutzer handelt und die einen entsprechenden Wert für die Anwender haben. Dabei geht es um Office-Dokumente, Bilder und Multimedia-Dateien. Anschließend versuchen die Täter das Opfer zu erpressen und versprechen die Entschlüsselung der Dateien nach Zahlung eines Lösegeldes von 300 Euro.

500 samples of malicious XLS (Locky) in 30 minutes from a catchall honeypot domain. We can say that the attackers want to pursue their goal.
— CIRCL (@circl_lu) 18. Februar 2016

Beachtenswert ist allerdings die Geschwindigkeit, mit der sich Locky hierzulande verbreitet: Der britische Sicherheitsforscher Kevin Beaumont will für Deutschland zeitweise über 5.000 Neuinfektionen pro Stunde registriert haben. Wenn sich also auch nur ein kleiner Teil der betroffenen Anwender dazu hinreißen lässt, auf die Lösegeld-Forderungen einzugehen, dürften die Täter ordentlich Kasse machen. Die Malware ist nebenher natürlich auch in verschiedenen anderen Regionen recht aktiv.

Some newer #Locky infected network data, now the US is awake. pic.twitter.com/SmfwASTe1l
— Kevin Beaumont (@GossiTheDog) 17. Februar 2016

Ausbreitung via Spam und Drive-by
Der Hauptverbreitungsweg der Ransomware liegt in manipulierten Office-Dateien. Hier ist der Schadcode in Form eines Makros eingebettet. Die entsprechenden Dateien landen per Spam auf den Rechnern der Nutzer und versuchen den Eindruck zu erwecken, dass es sich um eine wichtige Rechnung handelt. Öffnet der Nutzer die Datei, beginnt der enthaltene Schadcode mit seiner Arbeit und lädt weitere benötigte Komponenten herunter. Inzwischen häufen sich aber auch die Fälle, in denen Infektionen per Drive-by-Download ausprobiert werden, bei denen der initiale Schadcode in Webseiten eingebettet ist und versucht, Sicherheitslücken in Browsern auszunutzen.

Aufgrund der akuten Bedrohungslage und der Infektion größerer Organisationen wie einem Fraunhofer-Institut gibt es bereits offizielle Warnungen vom BSI und von Polizeibehörden. Windows-Nutzer sollten momentan besonders darauf achten, dass Betriebssystem und Anwendungen auf dem neuesten Patch-Stand sind und auch die Virenscanner aktualisiert werden. Die Security-Firmen arbeiten aktuell intensiv daran, Locky und mögliche neue Varianten schnell in die Signatur-Datenbanken zu bekommen.

Quelle

19.02.16, 14:40	#1
Mitglied seit: Dec 2014 Beiträge: 1.602	vladi63 Banned Neue Locky-Variante scheitert grandios an Faulheit der Entwickler Die Verbreitung der Ransomware Locky hält die Security-Szene seit einigen Tagen in Atem. Mittlerweile liegt ein gewisser Fokus der Täter auf dem deutschsprachigen Raum: Die Erpressungs-Forderungen sind übersetzt und angepasst und die Zahl der Infektionen steigt enorm. Eigentlich ist an der Malware wenig Besonderes. Auf infizierten Rechnern werden verschiedene Datei-Formate verschlüsselt, bei denen anzunehmen ist, dass es sich um eigene Daten der Nutzer handelt und die einen entsprechenden Wert für die Anwender haben. Dabei geht es um Office-Dokumente, Bilder und Multimedia-Dateien. Anschließend versuchen die Täter das Opfer zu erpressen und versprechen die Entschlüsselung der Dateien nach Zahlung eines Lösegeldes von 300 Euro. 500 samples of malicious XLS (Locky) in 30 minutes from a catchall honeypot domain. We can say that the attackers want to pursue their goal. — CIRCL (@circl_lu) 18. Februar 2016 Beachtenswert ist allerdings die Geschwindigkeit, mit der sich Locky hierzulande verbreitet: Der britische Sicherheitsforscher Kevin Beaumont will für Deutschland zeitweise über 5.000 Neuinfektionen pro Stunde registriert haben. Wenn sich also auch nur ein kleiner Teil der betroffenen Anwender dazu hinreißen lässt, auf die Lösegeld-Forderungen einzugehen, dürften die Täter ordentlich Kasse machen. Die Malware ist nebenher natürlich auch in verschiedenen anderen Regionen recht aktiv. Some newer #Locky infected network data, now the US is awake. pic.twitter.com/SmfwASTe1l — Kevin Beaumont (@GossiTheDog) 17. Februar 2016 Ausbreitung via Spam und Drive-by Der Hauptverbreitungsweg der Ransomware liegt in manipulierten Office-Dateien. Hier ist der Schadcode in Form eines Makros eingebettet. Die entsprechenden Dateien landen per Spam auf den Rechnern der Nutzer und versuchen den Eindruck zu erwecken, dass es sich um eine wichtige Rechnung handelt. Öffnet der Nutzer die Datei, beginnt der enthaltene Schadcode mit seiner Arbeit und lädt weitere benötigte Komponenten herunter. Inzwischen häufen sich aber auch die Fälle, in denen Infektionen per Drive-by-Download ausprobiert werden, bei denen der initiale Schadcode in Webseiten eingebettet ist und versucht, Sicherheitslücken in Browsern auszunutzen. Aufgrund der akuten Bedrohungslage und der Infektion größerer Organisationen wie einem Fraunhofer-Institut gibt es bereits offizielle Warnungen vom BSI und von Polizeibehörden. Windows-Nutzer sollten momentan besonders darauf achten, dass Betriebssystem und Anwendungen auf dem neuesten Patch-Stand sind und auch die Virenscanner aktualisiert werden. Die Security-Firmen arbeiten aktuell intensiv daran, Locky und mögliche neue Varianten schnell in die Signatur-Datenbanken zu bekommen. Quelle