Locky: Erpresser-Trojaner kommt über Javascript – Virenscanner machtlos?

Wer E-Mails mit Datei-Anhängen bekommt, muss besonders vorsichtig sein. Diese Regel gilt eigentlich seit jeher, wir müssen sie seit dem ersten Auftauchen des Erpresser-Trojaners Locky in der vergangenen Woche aber nochmals betonen. Hat sich der Schädling bislang via Makro-Code in präparierten Word-Dateien versteckt, lauert nun auch eine Ansteckungsgefahr via Javascript. Ein entsprechender Code verbirgt sich laut einem Fund des britischen IT-Sicherheitsexperten Kevin Beaumont in einer Zip-Datei, die Spammer per E-Mail versenden. Der Code führt einen Downloader aus, den keines von über 50 Virenprogrammen des Online-Scanners virustotal.com als schädlich einstuft.

Der Downloader lädt im Hintergrund die Locky-Dateien auf den Rechner des Opfers. Verschleierungstechniken verhindern, dass Virenscanner den Datentransfer auslesen können. Ist Locky heruntergeladen, nimmt das Unheil gemäß bisherigen Fällen seinen Lauf. Der Trojaner verschlüsselt wichtige Daten auf dem Rechner und fordert per Desktop-Einblendung die Zahlung eines Lösegeldes, damit die Daten wieder entschlüsselt werden. Gefordert wird dabei ein Lösegeld von einem halben Bitcoin. Was sich wenig anhört, sind aktuell fast 200 Euro - pro Rechner! Denn anders als bisherige, sogenannte Krypto-Locker verbreitet sich Locky auch noch selbständig im Netzwerk und findet so weitere Opfer.

Lesetipp: Locky-Infektion vermeiden

Die von Beaumont gefundene und analysierte Spam-Mail scheint von einem Wursthersteller aus Ludwigslust zu kommen. Die Mail ist offenbar Teil einer großen Spam-Welle, denn viele Nutzer sollen bereits beim besagten Unternehmen angerufen, sich beschwert und Schadensersatz gefordert haben, wie heise.de berichtet. Dabei hat die Firma weder mit dem Trojaner noch etwas mit dem Versand der Spam-Mails zu tun.