Das Avira Virus Lab hat eine neue Variante der Ransomware Locky entdeckt, die über einen Offline-Modus verfügt. Sie kann in diesem auch ohne Befehle eines Command-and-Control-Servers (C&C-Server) Dateien auf einem befallenen Rechner verschlüsseln, um anschließend Lösegeld für die erneute Freigabe der Daten zu erpressen.
Nachdem Locky sich auf dem System eingenistet hat, bleibt nicht viel Zeit. Von der Infektion bis zur Verschlüsselung von Dateien im Offline-Modus dauert es Avira zufolge 1 bis 2 Minuten. Zunächst versucht die Malware in mehreren Schritten, einen C&C-Server zu erreichen. Schlagen alle Versuche fehl, schaltet sie in den Offline-Verschlüsselungsmodus.
„Auch wenn Locky weiterhin Versuche unternimmt, Verbindungen aufzubauen, und diese beobachtet werden können, wird es die Dateien verschlüsseln, wenn sie fehlschlagen“, erklärt Kroll. „Wenn ein Administrator also solche Verbindungen feststellt, bleibt ihm nur sehr wenig Zeit, den Computer herunterzufahren, bevor Daten beschädigt werden.“
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Die neue Variante der Ransomware hat aber auch eine mögliche Schwäche: Wenn ein Erpressungsopfer Lösegeld für eine private Entschlüsselungs-ID aus dem Offline-Modus gezahlt hat, könnte diese auch von anderen Nutzern mit demselben Public Key verwendet werden, um Daten wiederherzustellen.
Im Offline-Modus kann die Malware die ID eines Opfers nicht direkt beim Server registrieren und somit einen einmaligen Public Key erhalten, wie es sonst üblich ist. In diesen Fällen verwendet es einen öffentlichen Schlüssel, der Teil der Konfiguration ist, und generiert eine einmalige Opfer-ID für die Bezahlseite. Der Public Key gilt dann für alle „Offline-Opfer“, deren Rechner von Locky-Versionen mit derselben Konfiguration infiziert wurden. Er besitzt auch selbst eine ID, wahrscheinlich damit der Server zwischen öffentlichen Schlüsseln verschiedener Locky-Konfigurationen unterscheiden kann. Anhand der Oper-ID wird überprüft, ob das Lösegeld bereits bezahlt wurde.
Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
