News Krypto-Trojaner: Locky weiterhin auf dem Vormarsch

Daniel

Lt. Junior Grade
Registriert
Apr. 2008
Beiträge
468
Der Verschlüsselungstrojaner Locky sorgt im Internet weiter für Unruhe und bedroht nicht nur Privatanwender, sondern auch Firmen. Eine neue Version treibt bereits ihr Unwesen und versteckt sich dafür in Batch-Dateien. Hoffnung bringt nun aber ein kleines Tool, das diesen speziellen Trojaner-Typ enttarnen soll.

Zur News: Krypto-Trojaner: Locky weiterhin auf dem Vormarsch
 
Lese ich das zwischen den Zeilen richtig, daß bis jetzt keine der üblichen Anti-Viren-Softwares Locky erkennt und stoppt?
 
Klassikfan schrieb:
Lese ich das zwischen den Zeilen richtig, daß bis jetzt keine der üblichen Anti-Viren-Softwares Locky erkennt und stoppt?
Das ist nur bei der jeweils neuesten Version von Locky so. Wobei ich es mir kaum vorstellen kann, wie die Verschlüsselung sämtlicher Daten ohne Entdeckung durch die Verhaltenserkennung funktionieren kann... Ich meine, dass kann doch nicht so schwer sein, diesen Vorgang zu erkennen... :o
 
Es gibt einfach zu viele Versionen. Und ich gehe mal stark davon aus, das auch MB Anti-Ransomware nicht immer sofort zur Stelle sein kann, wenn eine unbekannte Version einer Ransomsware im Umlauf ist. Ein paar Dateien werden wohl immer dran glauben müssen. Aber lieber so, als wenn alle Daten weg sind!

Cr4y schrieb:
Wobei ich es mir kaum vorstellen kann, wie die Verschlüsselung sämtlicher Daten ohne Entdeckung durch die Verhaltenserkennung funktionieren kann... Ich meine, dass kann doch nicht so schwer sein, diesen Vorgang zu erkennen... :o
Die Verschlüsselung wird wohl als normaler Dateizugriff erkannt (lesen, schreiben, löschen). Ich glaub bei Kaspersky war es so, das der Virenscanner bestimmte Dateien als Falle erstellt und prüft bzw. erkennt, wenn diese verschlüsselt werden. Nur bis das passiert, sind andere Dateien im schlechtesten Fall eher betroffen.
 
Zuletzt bearbeitet:
@Daniel
Bereits jetzt sind von Locky über 60 Modifikationen bekannt[...]
Bitte korrigieren.

Zum Thema Verbreitung würde mich interessiern, warum ausgerechnt DE und FR davon so massiv betroffen sind?

Ich mach mir wg meinem dreifachen Backup weniger sorgen. Es kann max. nur ein Backup erwischen.
 
Als zweiten Weg nutzt der Trojaner reguläre Seiten und gelangt hier über Schwachstellen auf den Computer.

Keine Details ?
Bisher habe ich nur über die Worddateien, Javascriptdateien und Batchdateien gehört die als eMail Anhang kommen.
Der eine Trojaner der in den letzten Tagen aufkam befällt und verschlüsselt auf PHP Basis nur die Webserver selber.
 
Ist nur Windows betroffen?
 
vielleicht sollte man auch diesen satz, betreffend des anti-ransomware-tools, in den artikel mit aufnehmen:

Der Hersteller rät davon ab, die Beta-Version auf Produktivsystemen einzusetzen.
quelle: heise
 
von Schnitzel schrieb:
@Daniel

Bitte korrigieren.

Zum Thema Verbreitung würde mich interessiern, warum ausgerechnt DE und FR davon so massiv betroffen sind?

Ich mach mir wg meinem dreifachen Backup weniger sorgen. Es kann max. nur ein Backup erwischen.

Vielleicht weil genau das der Staatstrojaner bzw. eine von seinen vielen Modifikationen ist? ^^
 
Was ich hier auch nicht verstehe, ist folgendes: wenn die Erpresser ja Geld zum Entsperren fordern... dann muss das ja doch auf ein Bankkonto überwiesen werden. Jedes Bankkonto braucht einen Inhaber und kann nur mit Personalausweisen erstellt werden. Wo liegt also das Problem die Erpresser ausfindig zu machen?
 
Gibt AFAIK nur eine Windows-Exe, ich würde aber nicht ausschließen, dass das Programm selbst auch mit Wine läuft. Auch mit ner virtuellen Maschine kann man auf die Schnauze fliegen, sofern diese Zugriff auf das Dateisystem des Hosts hat.

Ich möchte nicht wissen, was los wäre, wenn Locky noch über eine weniger offensichtliche Art und Weise verbreitet würde. Aktuell muss man sich ja schon ziemlich verbiegen, um das Dingen überhaupt zu starten, trotzdem ist der hierzulande so erfolgreich.

@franzerich du musst laut SemperVideo in Bitcoin bezahlen, die Bezahlseite liegt im Darknet, das dürfte ziemlich anonym sein. Außerdem wird die eigentliche Malware wohl wirklich gerne über gehackte Wordpress-Seiten verteilt.
 
Zuletzt bearbeitet:
Crazy_Bon schrieb:
Ist denn nicht das eigentliche Problem eher der Computernutzer, der bedenkenlos irgendeine angehängte Datei aus einer Email ausführt?

Nein. Im Artikel wird auch eine Infektion über präparierte Webites erwähnt. Wibei noch die Frage ist, ob das spezielle Sites sind, die von den Virenschreibern programmiert wurden, oder ob auch ganz normale Seiten infiziert werden können, und damit zu Virenschleudern werden....
 
wir haben in der Firma heut auch den ersten Fall gehabt... 1x Backup restore...
 
Crazy_Bon schrieb:
Ist denn nicht das eigentliche Problem eher der Computernutzer, der bedenkenlos irgendeine angehängte Datei aus einer Email ausführt?
Im Fernsehen wurde von einem Restaurant Besitzer berichtet, der übers Arbeitsamt einen neuen Koch suchte. Eine Bewerbungsmail ging bei ihm ein, die im perfekten deutsch an ihn persönlich addressiert war. Inhalt der Mail war auch dementsprechend gestaltet mit Angaben zu Qualifikationen,....
Im Anhang sollte er dann den Lebenslauf etc. entnehmen und hat sich damit infiziert.

Man liest immer wieder, dass die Mails verdammt genau auf das Opfer abgestimmt gewesen ist. Das hat nichts mit den einfachen Mails im gebrochenen Englisch zu tun, die man sonst so sieht.
 
Zurück
Oben