Ransomware: Neue Locky-Variante nutzt Dateianhang im 7-Zip-Format

Der Sicherheitsforscher Derek Knight hat eine neue Variante der Ransomware Locky entdeckt. Sie wird derzeit per E-Mail als Dateianhang verteilt, beispielsweise mit der Betreffzeile „Status of Invoice“. Für den Dateianhang wählten die Hintermänner jedoch ein eher ungewöhnliches Format: Die von der Open-Source-Software 7-Zip erstellten Archive lassen sich nämlich nicht mit Windows-Bordmitteln öffnen.

Der Dateianhang wiederum enthält laut einem Bericht von Bleeping Computer ein VBS-Skript, das die eigentliche Locky-Ransomware von einem entfernten Server herunterlädt und startet. Sie durchsucht anschließend den Computer und beginnt mit der Verschlüsselung von Dateien.

Neu ist auch die Dateiendung „Ykcol“ (Locky rückwärts geschrieben), die die Ransomware an alle verschlüsselten Dateien anhängt. Auch die Dateinamen werden verändert. Sie bestehen anschließend aus einer eindeutigen ID, die Locky für jeden befallenen Computer erzeugt, sowie 16 zufällig generierten Hexadezimalzeichen.

Die Lösegeldforderung liegt nun im HTML-Format vor undnicht mehr als Bitmap-Grafik. Wie bei anderen Locky-Varianten auch sollen Betroffene den Tor-Browser installieren und damit eine bestimmte Onion-Website aufrufen. Dort wiederum finden sie die Anleitung zur Zahlung des Lösegelds in Höhe von 0,25 Bitcoin, was derzeit rund 816 Euro entspricht.

Laut Trend Micro ist Locky aber auch in einer Spamkampagne aktiv, die sich derzeit gegen Nutzer in den USA, Deutschland und China richtet. Auch hier soll eine angebliche Rechnung Nutzer zum Download der Erpressersoftware verleiten, allerdings ist die infizierte Datei nicht an die E-Mail angehängt – Nutzer müssen stattdessen auf einen Link klicken, um die Datei herunterzuladen. Wie bei der neuen Locky-Variante setzten die Cyberkriminellen aber auch hier auf das Archivformat 7Z.

Nicht nur das Dateiformat legt die Vermutung nahe, dass zwischen beiden Kampagnen ein Zusammenhang besteht. Die Erpresser leiten ihre Opfer in beiden Fällen auf dieselbe Onion-Adresse im Tor-Netzwerk. Allerdings fordern die Erpresser der von Trend Micro aufgedeckten Kampagne ein höheres Lösegeld von 0,7 Bitcoin oder 2290 Euro.

Eine weitere Besonderheit ist, dass die Links in den von Trend Micro gefundenen Spam-E-Mails Nutzer nicht nur zu Locky führen, sondern im Wechsel auch zur einer Ransomware namens FakeGlobe. Nutzer, die in einem gewissen zeitlichen Abstand mehrfach auf den Link klicken, können ihre Systeme unter Umständen also mit einer zweiten Erpressersoftware infizieren.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.