Trojaner Locky kann neue Tricks
Der Erpressungs-Trojaner Locky ist zurück und hat neue Tricks gelernt, die ihn noch gefährlicher machen.
Fast war es etwas still um den berüchtigten Erpressungs-Trojaner „Locky“ geworden, nachdem seine Verbreitung seit Mai mehr oder weniger eingestellt worden war. Laut Experten von Proofpoint ist Locky nun aber wieder aktiv und gefährlicher denn je. Er wird wieder über das Botnet Necurs verteilt und verbreitet sich durch E-Mail-Anhänge, von denen zur Zeit Millionen unterwegs sind. Sehr beliebt sind dabei Klassiker wie eine vermeintliche Rechnung, die als ZIP-Archiv im Anhang beigefügt wird. Da auch Firmen als zahlungskräftige „Kunden“ vermehrt in den Fokus von Ransomware geraten, werden mittlerweile auch vorgebliche Bewerbungs-E-Mails verschickt, wo sich der Trojaner in den angehängten Unterlagen des Bewerbers versteckt. Öffnet man einen solchen Anhang, wird statt dessen aber JavaScript-Code ausgeführt, der den Trojaner auf dem PC installiert.
Und Locky wird von seinen Machern weiterentwickelt. So hat er seine Abwehrmaßnahmen gegen Sicherheits- und Analysesoftware verbessert. Unterem anderen prüft der Trojaner nun, ob er in einer virtuellen Maschine ausgeführt wird. Dazu wird die Ausführungszeit bestimmter Windows-API-Befehle gemessen. Durch Virtualisierung ist diese deutlich langsamer als bei einem „echten“ System. Stellt Locky dies fest, beendet er sich und löscht seine Spuren, um eine Analyse seines Vorgehens zu erschweren. Nach wie vor ist kein Programm bekannt, mit dem sich die von Locky verschlüsselten Dateien wiederherstellen lassen.
[Erpresser]