Ransomware
Locky-Update: Erpressungs-Trojaner in falschen Provider-Mails
Der Erpressungs-Trojaner Locky lauert nun in gefälschten Provider-Mails, die vor Spam warnen sollen. Neue Dateiendungen erschweren dazu eine Entschlüsselung.
Locky macht seit Anfang des Jahres Computernutzern das Leben schwer. Aktuelle Varianten des Erpressungs-Trojaners geben erhöhten Grund zur Vorsicht. Denn Experten der Sicherheits-Website bleepingcomputer.com haben eine neue Spam-Kampagne ausgemacht, die im Namen von Providern E-Mails mit der gefürchteten Ransomware verbreiten. Um das Vertrauen des Opfers zu gewinnen, geben die Cyberkriminellen neben Providerangaben auch einen plausiblen Grund, eine anhängende Datei (natürlich den Trojaner Locky) anzuklicken. Angeblich wurde entdeckt, dass der Rechner Spam verschickt. Der Inhalt jenes vermeintlichen Spams biete Aufschluss über die versendeten Inhalte.
Unachtsame Nutzer lassen sich dadurch schnell in die Falle locken. Bisher gibt es zwar nur Mail-Beispiele aus dem englischsprachigen Raum, es ist jedoch davon auszugehen, dass die Kampagne auch auf Deutschland ausgeweitet wird. Schließlich hatte Locky Anfang des Jahres hierzulande eine hohe Trefferquote. Stündlich gab es Tausende Neuinfizierungen mit dem Erpressungs-Trojaner. Entsprechende E-Mails könnten dann im Namen von der Deutschen Telekom, Vodafone und Co. bei Ihnen im Postfach ankommen.
Sollte dies eintreffen, dürfen Sie nicht nur auf Spam-Filter Ihres E-Mail-Providers und Antiviren-Programme mit Zugriff auf E-Mails vertrauen. Notfalls hilft ein Anruf bei Ihrem persönlichen Kundenberater, um sich über den Wahrheitsgehalt entsprechender Behauptungen aus einer solchen Spam-Mail mit Locky zu informieren. Anhängende Dateien in E-Mails sollten Sie keinesfalls unüberlegt anklicken. Schon gar nicht, wenn Sie den Absender nicht persönlich kennen.
Lesetipp: Locky-Infektion vermeiden - das hilft
Unterdessen warnt CERT – das Computer Emergency Repsonse Team des Bundesamtes für Sicherheit in der Informationstechnik – vor weiteren Entwicklungen rund um Locky. Dateien, die mit dem Trojaner verschlüsselt werden, wiesen anfangs die Endung „.locky“ auf. Später folgte „.odin“. Nun werden Dateien unbrauchbar gemacht und mit der Endung „.aesir“ versehen. Das macht es ungleich schwerer, das richtige Entschlüsselungs-Tool auszuwählen – sofern denn eines kommt, das sich der Original-Version und Updates von Locky annimmt.
Denn: Es gibt zwar Tools, die Dateien mit „.locky“-Endung entschlüsseln können. Dabei ist jedoch zu beachten, dass dann nicht wirklich Locky, sondern ein einfacher zu entfernender Trojaner-Abkömmling namens AutoLocky zum Einsatz kam.
Übrigens: Der Trojaner verbreitet sich nicht nur per E-Mails. Locky kann auch Facebook-Nachrichten befallen. Mehr Details gibt es in der verlinkten Meldung.
