Krypto-Trojaner: Locky weiterhin auf dem Vormarsch

26.2.2016 20:28 Uhr

Der Verschlüsselungstrojaner Locky sorgt im Internet weiter für Unruhe und bedroht nicht nur Privatanwender, sondern auch Firmen. Eine neue Version treibt bereits ihr Unwesen und versteckt sich dafür in Batch-Dateien. Hoffnung bringt nun aber ein kleines Tool, das diesen speziellen Trojaner-Typ enttarnen soll.

Locky ist der am aggressivsten auftretende Verschlüsselungstrojaner, den das Internet bislang gesehen hat und der Schaden den die Ransomware anrichtet ist erheblich. Dabei tritt Locky im Wesentlichen weiterhin in zwei Varianten auf und versteckt sich einmal als Anhang in E-Mails, wo er beim Öffnen des Anhangs direkt nachgeladen wird. Als zweiten Weg nutzt der Trojaner reguläre Seiten und gelangt hier über Schwachstellen auf den Computer. Das Problem ist jedoch, dass die Erpresser Locky stetig abändern und so immer neue Sicherheitslücken nutzen, um den Trojaner auf Computern zu platzieren. Bereits jetzt sind von Locky über 60 Modifikation bekannt und die Tendenz ist weiterhin steigend. In der neusten Variante wird eine Batch-Datei als Word-Dokument getarnt und an eine E-Mail angehängt, die dann den Trojaner lädt, berichtet der Sicherheitsforscher Kevin Beaumont.

Locky is back as a Word document, with a batch file for evasion. Bypasses MS SCEM with MAPS, other AV test later. pic.twitter.com/hm26O2i01q
— Kevin Beaumont (@GossiTheDog) February 25, 2016

Neue Erkenntnisse gibt es auch zum Wirkungskreis von Locky: Während es anfänglich noch hieß, dass vor allem die USA stark von den Angriffen des Trojaners betroffen seien, hat sich der Schwerpunkt mittlerweile verschoben. Insbesondere Internetnutzer in Deutschland und Frankreich sind zum Ziel der Angreifer geworden, ebenfalls viele Angriffe verzeichnet Südafrika. Erst danach folgen die USA, China und Indien.

Weltweite Verteilung der Infizierungen durch Locky (Bild: Kaspersky)

Ein Ende der Angriffe sei nicht in Sicht, wie Marco Preuss, Leiter des europäischen Forschungs- und Entwicklungsteams von Kaspersky Lab, deutlich macht: „2016 wird wohl das Jahr der Ransomware. Allein im Februar 2016 haben wir auf unsere Kunden so viele Angriffsversuche durch Ransomware gezählt wie etwa in den vorangegangenen fünf Monaten.“ Die Zahl der Angriffe macht auch die hohe kriminelle Energie der Entwickler von Locky deutlich. Begünstigt wird der Vormarsch in jüngster Zeit durch eine Art Partnerprogramm zur Verbreitung des Trojaners. So berichtet Beaumont, dass Gehilfen mit einem Teil des erpressten Geldes belohnt werden, wenn diese Locky erfolgreich auf den Computern der Opfer platzieren.

There's an affiliate system build into Locky, Dridex style, which pays people involved in distro a cut of the paid ransoms.
— Kevin Beaumont (@GossiTheDog) February 25, 2016

Die starke Wirkung der Angriffe durch Locky wird vor allem durch die schnelle Entwicklung von Varianten begünstigt, denn dies macht es für die Hersteller von Sicherheitssoftware schwer, einen geeigneten Schutz bereitzustellen. Beaumont spricht hier von einer Reaktionszeit von rund zwölf Stunden, bis eine neue Version des Trojaners wirksam blockiert wird.

Entwicklung der Angriffe durch Ramsomware (Bild: Kaspersky)

Erpresserschreiben Locky (Bild: Kaspersky)

Durch Locky verschlüsselte Dateien (Bild: Kaspersky)

Neue Hoffnung bringt nun aber das Tool Anti-Ransomware von Malwarebytes, das Verschlüsselungstrojaner enttarnen und so ausbremsen soll. In einem kurzen Test hat sich heise online das Tool näher angeschaut und bestätigt, dass Locky gestoppt wurde. Allerdings waren da bereits 20 Dateien durch den Trojaner verschlüsselt worden. Zudem befindet sich das Programm noch in einer Beta-Version und wird zur Zeit insbesondere für die Enttarnung von Locky optimiert. Bei gleicher Testumgebung mit einer Version von TeslaCrypt 3 wurde der Trojaner umgehend gestoppt und konnte keine Datei verschlüsseln.

25 Jahre ComputerBase!
Im Podcast erinnern sich Frank, Steffen und Jan daran, wie im Jahr 1999 alles begann.