Derzeit grassiert in Europa ein neuer Verschlüsselungs-Trojaner namens „Locky“. Verbreitung findet „Locky“ klassisch per E-Mail- über infizierte Anhänge.

Warnung vor Rechnungen in Emails

Dabei handelt es sich um angeblich zu begleichende Rechnungen. Das angehängte Dokument infiziert den Rechner über Makros. Auch Sicherheitslecks in Browsern sollen ausgenutzt werden, um Locky über manipulierte Websites auf die Systeme der Nutzer zu schleusen. Computer-Nutzer sollten dringend ihre Daten sichern. Analysen zeigen, dass derzeit offenbar nur wenige Virenscanner anschlagen. Nur 3 der 54 AV-Engines stufen die Datei als Malware ein.

Einen verlässlichen Schutz gegen Locky gibt es nicht.

Der Sicherheitsforscher Kevin Beaumont hat allein in Deutschland über 5000 Neuinfektionen pro Stunde gezählt. Mit etwas Abstand folgten dann die Niederlande und die USA in der Liste der am stärksten betroffenen Länder.

Möglicherweise schlummerte Locky bereits eine Weile auf den infizierten Rechnern, ehe es am vergangenen Montag zentral den Befehl zur Verschlüsselung bekommen habe. Nach und nach seien alle auf dem PC gefundenen Dokumente, Fotos und viele Medienformate wie MP3 verschlüsselt worden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät, der Lösegeldforderung nicht nachzugeben. Stattdessen sollte man ein Foto von dem digitalen Erpresserbrief machen und Anzeige erstatten. Es sei ratsam, eine Kopie der verschlüsselten Daten aufzuheben, für den Fall, dass ein Weg bekannt wird, die Verschlüsselung zu knacken.

Das zum Zwangskauf angebotene Entschlüsselungstool, das mittlerweile auch einen deutschsprachigen Erpressungstext liefert, soll tatsächlich funktionieren. Es lässt sich allerdings nicht auf jedem Rechner anwenden, sondern nur für das System des individuellen Users, der beim Zahlungsvorgang auch eine von der Erpressersoftware generierte ID angeben muss.

Den Angriff der neuen Ransomware, erkenne man daran, dass sich auf der Platte Dateien mit kryptischen Namen und der Endung „.locky“ befinden. Im Ordner finde man zudem eine Datei namens „_Locky_recover_instructions.txt“, die Locky auch mit dem Editor zu öffnen versucht.

In der Textdatei weist Locky sein Opfer an, bestimmte Adressen im Tor-Netz aufzurufen und dort den privaten Krypto-Schlüssel und das Entschlüsselungs-Tool zu kaufen.

Mit dem Fraunhofer-Institut in Bayreuth hat Locky auch schon ein prominentes Opfer gefunden. Die Infektion, die auf dem PC eines Mitarbeiters begonnen haben dürfte, soll sich auf rund 60 Rechner ausgebreitet haben.