Neuer Ransomware-Trittbrettfahrer namens „Locker“

Die brisanteste Neuentwicklung im Malware-Bereich dieses Jahres ist wohl die zunehmende Verbreitung von Ransomware.  Wie der Name bereits sagt, handelt es sich bei Ransomware um Malware, die Ihren Computer als Geisel nimmt und Sie zur Zahlung eines Lösungsgeldes auffordert, bevor Ihr Computer wieder freigegeben wird.   Gegen Ende 2013 tauchte die Ransomware CryptoLocker als neue Bedrohung mit arglosem, aber böswilligen Design auf.

CryptoLocker dringt durch einen Trojaner in einem Anhang ein, bei der die Tatsache verschleiert wird, dass es sich um eine ausführbare Datei handelt.  Er wird dann als unbekannte Datei in Ihrem Ordner Dokumente und Einstellungen installiert und verschlüsselt wichtige Dateien auf Ihrer lokalen Festplatte oder eingebundenen Netzwerklaufwerken.  Die verschlüsselten Dateien wurden gesperrt und als Geisel genommen; CryptoLocker informierte Sie sodann über den Vorfall mit einem Ultimatum auf Ihrem Bildschirm.

ZAHLEN SIE 300 € INNERHALB DER NÄCHSTEN 72 STUNDEN ODER SIE SEHEN IHRE DATEIEN NIE WIEDER!

Berichten zufolge sollten die Nutzer nach Zahlung des Lösegeldes Zugriff auf CryptoLocker erhalten und die Dateien würden entschlüsselt und sicher an den Nutzer zurückgegeben.  Schätzungen zufolge zahlten jedoch nur etwa 3 % der Nutzer, und ein Bruchteil dieser erhielten tatsächlich ihre Dateien zurück.  Die meisten Experten sind sich einig, dass CryptoLocker an und für sich nicht zu knacken ist, und dies liegt zum teil darin begründet, dass viele Varianten eine Zahlung mit Bitcoins verlangten, was es den Schöpfern von CryptoLocker erlaubt, weitgehend anonym zu operieren.

Der Trittbrettfahrer Locker

Erst letzte Woche tauchte einer neuer Ransomware-Typ namens Locker in den USA und Europa auf.  Er basiert auf CryptoLocker, ist zwar entschieden weniger ausgeklügelt, aber erstaunlicherweise weitaus ansteckender.  Locker verbreitet sich über Drive-by-Downloads, bei der wiederum die Dateierweiterung einer ausführbaren Datei verschleiert wird; sodann wird mit der Verschlüsselung begonnen.

Bei Locker besteht die Verschlüsselung aus zwei Komponenten.  Zunächst kopiert Locker die entführten Dateien, ersetzt ihre Erweiterung mit .perfect und löscht dann ihren Inhalt. Dann platziert Locker eine Datei namens contact.txt in jedes entführte Verzeichnis.  Diese Datei ist lesbar und enthält üblicherweise die Telefonnummer eines Pay-as-You-Go-Handys oder eine anonyme E-Mail.Adresse sowie einen Aktivierungsschlüssel.

Letzten Endes werden die betroffenen Nutzer aufgefordert, sich an die Person in contact.txt zu wenden.  Berichten zufolge sehen sich Nutzer meist mit Forderungen von etwa 150 € konfrontiert, gegen die Sie einen Entschlüsselungscode für die entführten Dateien erhalten sollen.  Ebenso wie bei CryptoLocker sind die Chancen, Ihre Dateien wirklich zurückzuerhalten, äußerst gering.

Die gute Nachricht

Bisher hat sich Locker als relativ weniger bedrohlich als CryptoLocker erwiesen, der eine Verschlüsselung mit 256 Bit in Kombination mit anderen fortgeschrittenen Methoden zur Dateisperrung nutzte.  Zusätzlich hat ein junger Sicherheitssoftwarehersteller namens IntelCrawler bereits eine wirksame Entschlüsselung angekündigt.

Nichtsdestoweniger geht Locker um, und jeder, der einiges aus dem Internet herunterlädt, sollte wachsam bleiben.  Ein sehr beliebtes Trägerformat sind momentan Dateien, die wie .mp3s aussehen, aber ausführbare .exe-Dateien sind.  Daher sollten diejenigen unter Ihnen, die noch Musik aus weniger legalen Quellen laden, auf der Hut sein!

Für alle anderen sollten Emsisoft und ein gesundes Maß an Einsicht ausreichen!

Wir wünschen Ihnen eine gute (malware-freie) Zeit!