Der Erpressungstrojaner Locky, der Festplatten verschlüsselt und dann Lösegeld für die Freigabe dieser Daten haben will, ist wohl erstmals Mitte Februar 2016 aufgetaucht.
Anzeige
Dies geht aus einer Information hervor, die mir von Proofpoint vorliegt. Am 16. Februar sind die Forscher des IT-Security-Experten Proofpoint zum ersten Mal auf einen Anhang gestoßen, in dem sich die Ransomware Locky verbarg.
Eine Nachricht mit dem Betreff "ATTN: Invoice J-12345678" enthielt den Anhang "invoice_J-12345678.doc" enthielt ein MS Word-Dokument mit einem Makro, das den Erpressungstrojaner Locky herunterlädt und installiert. Öffnet der Benutzer das Dokument, wird sein Rechner infiziert, wenn in Word standardmäßig Makros freigeschaltet sind.
Anzeige
Locky wurde also initial über Spam mit angehängten Dokumenten in Umlauf gebracht, was bei den Malware-Kampagnen des letzten Jahres die gängigste Methode war. Das Botnet (eine Gruppe infizierter Rechner, auf denen ein Spambot läuft), das den Spam verschickt, ist dasselbe, das den Großteil der Nachrichten verschickt, die den Banking-Trojaner Dridex im Schlepp haben.
Locky verschlüsselt die Dateien auf dem Rechner und im Netz und nutzt Notepad, um als Desktop-Hintergrund eine Erpressungsnachricht anzuzeigen. Diese verlangt vom Benutzer, Bitcoins zu kaufen, damit er seine Daten wieder entschlüsseln kann. Proofpoint schreibt: Zurzeit ist kein Fall bekannt, in dem nach Zahlung tatsächlich der Schlüssel geliefert wurde.
Demo-Video: So arbeitet Locky
Blogbeitrag von Proofpoint
hnliche Artikel:
Crypto-Trojaner die Erste: Win.Trojan.Ramnit
Crypto-Trojaner die Zweite: .TRUN der (noch) Unbekannte
Malwarebytes veröffentlicht Anti-Exploit-Lösung
Was schützt vor Locky und anderer Ransomware?
Nice: 'BKA-Warnung' vor Locky mit Virus inside
Anzeige
Das ist schon möglich, allerdings hatte der chinesische Antivirus Spezialist seit Juli letzten Jahres schon intensiv vor "Ransomware" mit Bitcoin Zahlung gewarnt.
https://blog.360totalsecurity.com/en/what-is-ransomware/
Und der 360 Totalsecurity war übrigens gemäss Virustotal der erste Virusscanner der den Locky erkannte (Praktisch schon bei seinem auftauchen).
Warum der Chinese (dicht gefolgt vom Russen Kapersky) in dieser Hinsicht schneller war als alle anderen Virus-Scanner weiss ich nicht, es ist aber schon auffällig.
Ransomware mit Bitcoin-Zahlung gibt es seit geraumer Zeit. Hier geht es wohl ausschließlich um die Locky-Variante, die per Word-Dateien verbreitet wurde.
Zitat: "Zurzeit ist kein Fall bekannt, in dem nach Zahlung tatsächlich der Schlüssel geliefert wurde."
Es wurde bisher noch kein Schlüssel herausgegeben!? Das dürfte für viele Betroffene interessant sein. Dieser Artikel lässt darauf schließen, dass nach Lösegeldzahlung dem Krankenhaus in Los Angeles der Schlüssel geliefert wurde.
Grüße
Ich habe die Aussage präzisiert – die stammt von Proofpoint. Es gibt Hinweise, dass Leute den Decryption-Key bekommen haben. Ich hatte aber auch in einem der oben verlinkten Blog-Beiträge von mir erinnerungsmäßig einen Link auf einen Erfahrungsbericht gesetzt. Dort berichtet ein Betroffener, dass er den Decryption-Key und ein Entschlüsselungstools bekam, welches er aber mit riesigem Aufwand so hinbiegen musste, dass er an seine Daten wieder herankam. Etwas, was Normal-User nicht leisten können – es bleibt also eine halbseidene Geschichte.
Die allererste Variante schlug am 5.2.2016 auf, eine "Bewerbung" und zip-Datei die ein "schlichtes" JS-enthielt. Nachgeladen wurde dann noch etwas JS, VBA, ein Document Template, Keys und eine Lib. aus PGP getarnt als .CSS.
Dann lief das Zeug los, killte VSS zwischenzeitlich wie ich Günter kurz zukommen lies.
Den ganzen Trödel habe ich hier und evtl. auch den Key der nicht mehr gelöscht werden konnte.
Zu weiteren Tests außer das Ursprungsscript mal in einer VM laufen zu lassen bin ich noch nicht gekommen, sollte sich jemand berufen fühlen…..
grüseles
Michael
Michael, danke für den Hinweis. Zum "mal in einer VM laufen lassen" kann ich nur sagen: Finger weg, wenn man nicht sehr fit und sicher ist, dass das Teil nicht ausbrechen kann. Ich würde eine solche VM auch nur auf einer Testmaschine in einer VM laufen lassen, wenn ich die Testmaschine anschließend auf ein vorheriges Image zurücksetzen könnte – und zudem noch alle anderen Rechner im Netzwerk herunterfahren. Zu schnell hat man mal eine NAS- oder Netzwerkfreigabe übersehen …
Keine Bange, hatte ja auch die Live befallene Maschine in den Fingern und gesehen was da passierte. :-) bis zum Zugriff auf alle! Shares auch UNC, dürfte sich aus meiner Sicht damit um den Vorläufer von Locky handeln, hat ja auch funktioniert.
Die nette Mitteilung erfolgte dann über eine .HTA also nichts besonderes.
Das ist ja immer das Gleiche, ob heute es nun „Locky" ist oder anders heißt. Namen sind doch nur Schall und Rauch. Im Kern geht es an das Geld zu kommen und so viel Schaden wie möglich anzurichten. Die BKA-Trojaner-Welle im Januar 2013 war auf ukash und Paysafecard bei der Zahlungsmethode.
Im Nov und Dez 2015 hatte ich diverse E-Mails, welche nach der Methode funktionieren, entweder auf eine Link zu klicken oder es ist ein Anhang als Rechnung dabei. Ziel ist es dabei immer zuerst einen sog. Downloader ausführen zu lassen. Das wird meistens über Java-Skripte gemacht.
Ich habe mal eine analysiert: Anfang Dez 2015 war ein Anhang „rechnung.zip". Da drin was eine Datei mit „informationen_1717pdf.js". Das ist ein Downloader, hier JS//Nemucod.
MSE kann sowas finden und fand es auch (!) mit der Bezeichnung TrojanDownloader:JS/Nemucod. Bei Virustotal ist die Trefferquote sehr hoch.
Hier der Link und weitere Infos von Microsoft hierzu:
https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=TrojanDownloader:JS/Nemucod
Der lädt dann erst die Ransomware in unterschiedlichsten Varianten runter.
Jetzt haben die Diebe es in einer WORD-Datei mit Makro versteckt. Es ist doch nur eine andere Variante. Das mit dem WORD-Makro ist nun auch nicht neu und es kam früher schon mal verstärkt.
Hier was Ergänzendes von MS – Malware Protection Center:
https://www.microsoft.com/security/portal/mmpc/shared/ransomware.aspx
und zu „Locky" das vom dortigen Blog vom 24.02.2016:
https://blogs.technet.microsoft.com/mmpc/2016/02/24/locky-malware-lucky-to-avoid-it/
Zum Abschluss: Gestern habe ich ein E-Mail von "Apple" bekommen, dass mein Konto nicht stimmt. Bin aber nicht bei der Obst-Firma.
Der BKA-Trojaner war nicht sonderlich gemein. Um wieder etwas "machen" zu können, hat's schon gereicht, das Netzwerkkabel zu ziehen. Dann den Autostart aufräumen, Systemwiederherstellung, und fertig. Oder ein Bisschen mehr Gefummel. Ich hab jedenfalls vier befallene Rechner so wieder hingekriegt.
Mit dem Locky-Ding hatte ich glücklicherweise noch nichts zu tun, das scheint mir aber ein ganz anderes Kaliber zu sein.
Richtig! Aber das System ist immer das gleiche. Das Problem ist ja wohl bei den neuen Dingern, dass es verstärkt über E-Mail kommt. Und das was an E-Mails reinfliegt ist schon unglaublich. Das hatten wir hier schon und wichtig ist aufpassen und prüfen.
Es kommt alles über einen "Türöffner". Es ist zwar richtig, dass man Java und Adobe-Flash-Player aktuell halten soll. Aber das ist nicht das Problem. Das was ich alles in im Internet, über Funk etc mitbekomme, ist dass doch ein kleiner Schwung Unbedarftheit und Tollpatschigkeit mitwucherte.
Das ist auch eine sehr gute Auswertung, warum das Ding dann da war.
Ich denke wir sind uns einig – Würde die Quelle über was anderes kommen, so wäre das Problem ein völlig anderes und das Geschrei unermeßlich.
Wenn das stimmt, was hier auf netzpolitik.org steht:
https://netzpolitik.org/2016/wir-veroeffentlichen-dokumente-zum-bundestagshack-wie-man-die-abgeordneten-im-unklaren-liess/
so ist das nicht nur ein Skandal, sondern zeigt wie unbedarft nach wie vor vorgeht.
Das ganze hat auch heise.de aufgegriffen:
http://www.heise.de/security/meldung/Bundestags-Hack-Angriff-mit-gaengigen-Methoden-und-Open-Source-Tools-3129862.html
Ich dachte immer und da fällt mir nur ein: "Dummheit schafft Freizeit". Sorry musste raus.