necurs-botnet01-eeca56fffd7f5fc2

Die Ransomware Locky ist offensichtlich im großen Stil zurück und nimmt abermals Daten als Geiseln, um Lösegelder einzufordern. Darauf stießen Sicherheitsforscher von Proofpoint vor wenigen Tagen als sie beobachteten, dass Locky wieder über das Necurs-Botnet verteilt wird.

Dabei verbreite sich der Trojaner vornehmlich über etwa gefälschte Rechnungs-E-Mails, die ein Zip-Archiv im Anhang mitbringen. Darin versteckt sich eine JavaScript-Datei. Öffnet man diese, landet Locky auf dem Computer und beginnt mit seinem Zerstörungswerk. In den vergangenen Tagen haben sich gehäuft Leser an heise Security gewendet und von vorgeblichen Bewerbungs-Mails berichtet, die einen Schädling mitbrachten.

Die Verbreitungsmethode ist nicht neu, der Schädling hat den Sicherheitsforschern zufolge aber dazugelernt und kann sich nun besser verstecken. Locky erkenne nun etwa, ob er sich in einer virtuellen Maschine befindet, um so eine Analyse zu erschweren.

Im Februar dieses Jahres wütete Locky erstmals in Deutschland und soll über 5000 Computer pro Stunde infiziert haben. Bis zum jetzigen Zeitpunkt gibt es kein Tool, was mit Locky verschlüsselte Daten kostenlos entschlüsseln kann.

(Quelle: www.heise.de)