Neues zu Ransomware: Locky-Variante und PrincessLocker

Aktuell gibt es wohl eine neue Spielart von Locky, die nicht nur die Dateien verschlüsselt sondern auch den Dateinamen der Urspungsdatei verschleiert. Und eine neue Ransomware PrincessLocker verhält sich gar nicht so königlich. Zudem gibt es eine Schadsoftware zu WhatsApp sowie Abo-Betrugsversuche.


Anzeige

PrincessLocker – verschlüsselt Benutzerdaten

Die Ransomware PrincessLocker ist glücklicherweise noch nicht so weit verbreitet, aber Betroffenen nützt diese Erkenntnis wenig. Die Sicherheitsspezialisten von Malwarebytes haben jetzt ein Exemplar dieses Erpressungs-Trojaners in die Finger bekommen und den Schädling in einem (englischsprachigen) Blog-Beitrag beschrieben.


(Quelle: MalwareBytes)

Wenn der Trojaner aktiv wird, hängst er den Dateien die Erweiterung xrnc8 an. Glücklicherweise scheint es einen Decryptor für diesen Schädling zu geben, den man auf dieser Webseite herunter laden kann.

Locky verschleiert Dateinamen und vergibt die Erweiterung .aesir

Der Verschlüsselungstrojaner Locky ist ja bereits seit längerem bekannt. Es treten aber immer wieder Varianten auf. CERT Bund (BSI) warnt in diesem Tweet vor einer neuen Variante.


Anzeige

Wer plötzlich ganz komische Dateinamen der Art 016CCB88-61B1-ACB8-8FFA-86088F811BFA mit der Dateinamenerweiterung .aesir unter Windows vorfindet, ist von der neue Locky-Variante befallen. Diese verschlüsselt nicht nur die Dokumentdateien und versieht diese mit der obigen Dateinamenerweiterung. Es wird auch der Dateiname verschleiert, so dass man nicht mehr weiß, wie die Originaldatei heißt.


(Quelle: Bleeping-Computer)

Bei Bleeping-Computer geht man auf die neue Locky-Variante ein. Der Schädling wird im Anhang von E-Mails, die angeblich von Telekommunikationsanbietern stammen, verbreitet. Die ZIP-Datei im Anhang soll angeblich Verbindungsnachweise für Gespräche aufweisen. Im ZIP-Archiv befindet sich eine JS-Datei, die dann eine verschlüsselte DLL-Datei mit dem Locky-Trojaner herunterlädt. Die DLL wird anschließend über RunDll32.exe zur Ausführung gebracht und beginnt mit dem Verschlüsseln der Dokumentdateien. Ergänzende Informationen finden sich in einem heise.de Artikel.

Ach und ja, es gibt eine "offizielle BKA-Warnung" vor Locky, was natürlich Schmonsens ist. Was da im BKA-Kleid daherkommt, stammt nicht vom Bundeskriminalamt und enthält den Trojaner Locky im Beipack (wie man hier nachlesen kann).

WhatsApp-Schädling

WhatsApp hat ja gerade angekündigt, dass man auch Videoanrufe über die App unterstützen will. Die Funktion wird schrittweise an WhatsApp-Nutzer ausgerollt. Der Hype um die neue Funktion hat auch Cyberkriminelle auf den Plan gerufen, die vor allem auf junge Nutzer zielen. WhatsApp-Nutzer bekommen einen vorgeblichen Aktivierungslink für die WhatsApp-Telefonie zugeschickt. Gleichzeitig sollen die Empfänger die Nachricht an fünf weitere Freunde weitergeben. Wer den Link anklickt, dem wird eine als Virenscanner getarnte Schadsoftware zur Installation angeboten. Ist diese installiert, schickt sie die Nachricht gleich an alle Kontakt der eigenen Kontaktliste. Weiterhin werden WhatsApp-Nutzer momentan mit einer Phishing-Kampagne überrollt, die angeblich Flugtickets der Emirates-Airline verspricht (siehe folgender Abschnitt) und zur Teilnahme an einem Gewinnspiel einlädt. Bei Interesse finden sich in diesem Artikel von Spiegel Online weitere Infos.

WhatsApp-Betrug: Kostenlose Emirates Flugtickets

Sicherheitsanbieter ESET warnt zudem vor einer WhatsApp-Nachricht, die mit kostenlosen Flugtickets von Emirates Airline lockt. Hinter der Offerte versteckt sich leider eine Abo-Falle. 

Laut ESET verzeichnet man aktuell einen Anstieg von betrügerischen WhatsApp-Nachrichten: Derzeit erhalten viele Nutzer Nachrichten, die kostenlose Flugtickets der Emirates Airline versprechen. Darin werden sie aufgefordert, eine Webseite zu besuchen, die den Anschein der offiziellen Emirates-Seite erweckt. Die Fluggesellschaft steht jedoch in keiner Verbindung zu der Seite.

Sobald der Nutzer auf den Link in der Nachricht klickt, wird er zu einer Umfrage geleitet und dazu aufgefordert teilzunehmen, um Tickets zu gewinnen. Außerdem soll die WhatsApp-Nachricht mit Link zur Umfrage an mindestens zehn Kontakte geschickt werden. So verbreiten die Nutzer den betrügerischen Inhalt selbst an ihre Kontakte weiter.

Bei dem Ansatz handelt es sich um eine betrügerische Abo-Falle: Im Kleingedruckten der Umfrage wird bereits darauf hingewiesen, dass damit ein kostenpflichtiges Angebot von Dritten angenommen wird. Anschließend wird der Nutzer aufgefordert, mit seiner Telefonnummer einen Premium-Nachrichten-Dienst zu abonnieren. Die Leistung erscheint bis zum Ende des Monats auf der Telefonrechnung. Wenn der User alle Schritte befolgt hat, setzt die Ernüchterung ein: Eine kurze Meldung klärt darüber auf, nichts gewonnen zu haben.

Der Fall erinnert an den „Burger King Scam", bei dem Nutzer ebenfalls Nachrichten per WhatsApp erhielten. Auch hier wurden sie auf eine Umfrage weitergeleitet, die den Eindruck vermittelte, von der Fast-Food-Kette erstellt worden zu sein.

Vorsicht bei zweifelhaften Angeboten

Der beste Schutz gegen diese Art von Betrug ist es, bei dubiosen Angeboten oder Rabatten Vorsicht walten zu lassen. E-Mails, Nachrichten aus sozialen Netzwerken oder SMS mit unrealistischen Rabatten sollten nicht weiter beachtet und als Spam markiert werden. Da die Nutzer im konkreten Fall selbst den Scam via WhatsApp verbreiten, sollten derartige Nachrichten auch von sonst vertrauenswürdigen Kontakten nicht ernst genommen werden. 

Wer bereits betroffen ist, sollte alle Anwendungen, die in diesem Zuge installiert wurden, sofort deinstallieren. Außerdem können sich Nutzer bei ihren Mobilfunkanbietern über etwaige abgeschlossene Premium-SMS-Dienste informieren. Mehr Informationen finden sich im ESET Blog WeLiveSecurity.


Anzeige

Dieser Beitrag wurde unter Sicherheit, Virenschutz, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.