{"id":184100,"date":"2016-11-22T16:16:48","date_gmt":"2016-11-22T15:16:48","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=184100"},"modified":"2022-11-07T19:21:35","modified_gmt":"2022-11-07T18:21:35","slug":"neues-zu-ransomware-locky-variante-und-princesslocker","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2016\/11\/22\/neues-zu-ransomware-locky-variante-und-princesslocker\/","title":{"rendered":"Neues zu Ransomware: Locky-Variante und PrincessLocker"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>Aktuell gibt es wohl eine neue Spielart von Locky, die nicht nur die Dateien verschl\u00fcsselt sondern auch den Dateinamen der Urspungsdatei verschleiert. Und eine neue Ransomware PrincessLocker verh\u00e4lt sich gar nicht so k\u00f6niglich. Zudem gibt es eine Schadsoftware zu WhatsApp sowie Abo-Betrugsversuche.<\/p>\n<p><!--more--><\/p>\n<h3>PrincessLocker \u2013 verschl\u00fcsselt Benutzerdaten<\/h3>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/22b580449828431d8ac659c36dc17f3e\" alt=\"\" width=\"1\" height=\"1\" \/>Die Ransomware PrincessLocker ist gl\u00fccklicherweise noch nicht so weit verbreitet, aber Betroffenen n\u00fctzt diese Erkenntnis wenig. Die Sicherheitsspezialisten von Malwarebytes haben jetzt ein Exemplar dieses Erpressungs-Trojaners in die Finger bekommen und den Sch\u00e4dling in einem (englischsprachigen) <a href=\"https:\/\/blog.malwarebytes.com\/threat-analysis\/2016\/11\/princess-ransomware\/\" target=\"_blank\" rel=\"noopener\">Blog-Beitrag<\/a> beschrieben.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/web.archive.org\/web\/20220119222001\/https:\/\/blog.malwarebytes.com\/wp-content\/uploads\/2016\/11\/vicim_page.png\" width=\"607\" height=\"507\" \/><br \/>\n(Quelle: MalwareBytes)<\/p>\n<p>Wenn der Trojaner aktiv wird, h\u00e4ngst er den Dateien die Erweiterung xrnc8 an. Gl\u00fccklicherweise scheint es einen Decryptor f\u00fcr diesen Sch\u00e4dling zu geben, den man auf <a href=\"https:\/\/hshrzd.wordpress.com\/2016\/11\/17\/princess-locker-decryptor\/\" target=\"_blank\" rel=\"noopener\">dieser Webseite<\/a> herunter laden kann.<\/p>\n<h3>Locky verschleiert Dateinamen und vergibt die Erweiterung .aesir<\/h3>\n<p>Der Verschl\u00fcsselungstrojaner Locky ist ja bereits seit l\u00e4ngerem bekannt. Es treten aber immer wieder Varianten auf. CERT Bund (BSI) warnt in <a href=\"https:\/\/twitter.com\/certbund\/status\/800674259236319232\" target=\"_blank\" rel=\"noopener\">diesem Tweet<\/a> vor einer neuen Variante.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">New <a href=\"https:\/\/twitter.com\/hashtag\/Locky?src=hash\">#Locky<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/ransomware?src=hash\">#ransomware<\/a> version uses .aesir extension for encrypted files. C2 path changed to \/information.cgi. <a href=\"https:\/\/t.co\/MRrnjzE0h9\">pic.twitter.com\/MRrnjzE0h9<\/a><\/p>\n<p>\u2014 CERT-Bund (@certbund) <a href=\"https:\/\/twitter.com\/certbund\/status\/800674259236319232\">21. November 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Wer pl\u00f6tzlich ganz komische Dateinamen der Art <em>016CCB88-61B1-ACB8-8FFA-86088F811BFA<\/em> mit der Dateinamenerweiterung <em>.aesir<\/em> unter Windows vorfindet, ist von der neue Locky-Variante befallen. Diese verschl\u00fcsselt nicht nur die Dokumentdateien und versieht diese mit der obigen Dateinamenerweiterung. Es wird auch der Dateiname verschleiert, so dass man nicht mehr wei\u00df, wie die Originaldatei hei\u00dft.<\/p>\n<p><a href=\"https:\/\/web.archive.org\/web\/20211110011037\/https:\/\/www.bleepstatic.com\/images\/news\/ransomware\/locky\/aesir\/locky-spam-email.png\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/web.archive.org\/web\/20211110011037\/https:\/\/www.bleepstatic.com\/images\/news\/ransomware\/locky\/aesir\/locky-spam-email.png\" width=\"597\" height=\"411\" \/><\/a><br \/>\n(Quelle: Bleeping-Computer)<\/p>\n<p>Bei <a href=\"http:\/\/www.bleepingcomputer.com\/news\/security\/locky-ransomware-now-using-the-aesir-extension-for-encrypted-files\/\" target=\"_blank\" rel=\"noopener\">Bleeping-Computer<\/a> geht man auf die neue Locky-Variante ein. Der Sch\u00e4dling wird im Anhang von E-Mails, die angeblich von Telekommunikationsanbietern stammen, verbreitet. Die ZIP-Datei im Anhang soll angeblich Verbindungsnachweise f\u00fcr Gespr\u00e4che aufweisen. Im ZIP-Archiv befindet sich eine JS-Datei, die dann eine verschl\u00fcsselte DLL-Datei mit dem Locky-Trojaner herunterl\u00e4dt. Die DLL wird anschlie\u00dfend \u00fcber RunDll32.exe zur Ausf\u00fchrung gebracht und beginnt mit dem Verschl\u00fcsseln der Dokumentdateien. Erg\u00e4nzende Informationen finden sich in <a href=\"http:\/\/www.heise.de\/newsticker\/meldung\/Erpressungs-Trojaner-Locky-markiert-Geisel-Dateien-mit-aesir-Endung-3493965.html\" target=\"_blank\" rel=\"noopener\">einem heise.de Artikel<\/a>.<\/p>\n<blockquote><p>Ach und ja, es gibt eine \"offizielle BKA-Warnung\" vor Locky, was nat\u00fcrlich Schmonsens ist. Was da im BKA-Kleid daherkommt, stammt nicht vom Bundeskriminalamt und enth\u00e4lt den Trojaner Locky im Beipack (wie man <a href=\"https:\/\/web.archive.org\/web\/20190118105952\/https:\/\/www.mimikama.at\/allgemein\/vorsicht-offizielle-warnung-vor-computervirus-locky-ist-selber-ein-trojaner\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> nachlesen kann).<\/p><\/blockquote>\n<h3>WhatsApp-Sch\u00e4dling<\/h3>\n<p>WhatsApp hat ja gerade <a href=\"https:\/\/web.archive.org\/web\/20200205211835\/https:\/\/blog.whatsapp.com\/10000629\/WhatsApp-Videoanrufe\" target=\"_blank\" rel=\"noopener\">angek\u00fcndigt<\/a>, dass man auch Videoanrufe \u00fcber die App unterst\u00fctzen will. Die Funktion wird schrittweise an WhatsApp-Nutzer ausgerollt. Der Hype um die neue Funktion hat auch Cyberkriminelle auf den Plan gerufen, die vor allem auf junge Nutzer zielen. WhatsApp-Nutzer bekommen einen vorgeblichen Aktivierungslink f\u00fcr die WhatsApp-Telefonie zugeschickt. Gleichzeitig sollen die Empf\u00e4nger die Nachricht an f\u00fcnf weitere Freunde weitergeben. Wer den Link anklickt, dem wird eine als Virenscanner getarnte Schadsoftware zur Installation angeboten. Ist diese installiert, schickt sie die Nachricht gleich an alle Kontakt der eigenen Kontaktliste. Weiterhin werden WhatsApp-Nutzer momentan mit einer Phishing-Kampagne \u00fcberrollt, die angeblich Flugtickets der Emirates-Airline verspricht (siehe folgender Abschnitt) und zur Teilnahme an einem Gewinnspiel einl\u00e4dt. Bei Interesse finden sich in <a href=\"http:\/\/www.spiegel.de\/netzwelt\/apps\/video-fake-call-vorsicht-bei-whatsapp-a-1122367.html\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> von Spiegel Online weitere Infos.<\/p>\n<h3><span class=\"csC66031CA\">WhatsApp-Betrug: Kostenlose Emirates Flugtickets<\/span><\/h3>\n<p class=\"cs80D9435B\"><span class=\"cs86234214\">Sicherheitsanbieter ESET warnt zudem vor einer WhatsApp-Nachricht, die mit kostenlosen Flugtickets von Emirates Airline lockt. Hinter der Offerte versteckt sich leider eine Abo-Falle.\u00a0<\/span><\/p>\n<p class=\"cs80D9435B\"><span class=\"csC66031CA\">Laut\u00a0<\/span><span class=\"cs9B0541CF\"><a href=\"http:\/\/www.eset.com\/de\/\" target=\"_blank\" rel=\"noopener\"><span class=\"csAD66F6AD\">ESET<\/span><\/a><\/span><span class=\"cs7A304846\"> verzeichnet man aktuell einen Anstieg von betr\u00fcgerischen WhatsApp-Nachrichten: Derzeit erhalten viele Nutzer Nachrichten, die kostenlose Flugtickets der Emirates Airline versprechen. Darin werden sie aufgefordert, eine Webseite zu besuchen, die den Anschein der offiziellen Emirates-Seite erweckt. Die Fluggesellschaft steht jedoch in keiner Verbindung zu der Seite.<\/span><\/p>\n<p class=\"cs80D9435B\"><span class=\"cs7A304846\">Sobald der Nutzer auf den Link in der Nachricht klickt, wird er zu einer Umfrage geleitet und dazu aufgefordert teilzunehmen, um Tickets zu gewinnen. Au\u00dferdem soll die WhatsApp-Nachricht mit Link zur Umfrage an mindestens zehn Kontakte geschickt werden. So verbreiten die Nutzer den betr\u00fcgerischen Inhalt selbst an ihre Kontakte weiter. <\/span><\/p>\n<p class=\"cs80D9435B\"><span class=\"cs7A304846\">Bei dem Ansatz handelt es sich um eine betr\u00fcgerische Abo-Falle: Im Kleingedruckten der Umfrage wird bereits darauf hingewiesen, dass damit ein kostenpflichtiges Angebot von Dritten angenommen wird. Anschlie\u00dfend wird der Nutzer aufgefordert, mit seiner Telefonnummer einen Premium-Nachrichten-Dienst zu abonnieren. Die Leistung erscheint bis zum Ende des Monats auf der Telefonrechnung. Wenn der User alle Schritte befolgt hat, setzt die Ern\u00fcchterung ein: Eine kurze Meldung kl\u00e4rt dar\u00fcber auf, nichts gewonnen zu haben.<\/span><\/p>\n<p class=\"cs80D9435B\"><span class=\"cs7A304846\">Der Fall erinnert an den \u201e<\/span><span class=\"cs9B0541CF\"><a href=\"https:\/\/web.archive.org\/web\/20211019151715\/https:\/\/www.welivesecurity.com\/deutsch\/2016\/05\/25\/burger-king-scam-nachrichten-per-whatsapp\/\" target=\"_blank\" rel=\"noopener\"><span class=\"csAD66F6AD\">Burger King Scam<\/span><\/a><\/span><span class=\"cs7A304846\">\", bei dem Nutzer ebenfalls Nachrichten per WhatsApp erhielten. Auch hier wurden sie auf eine Umfrage weitergeleitet, die den Eindruck vermittelte, von der Fast-Food-Kette erstellt worden zu sein. <\/span><\/p>\n<h3 class=\"cs80D9435B\"><span class=\"cs4548CBF4\">Vorsicht bei zweifelhaften Angeboten<\/span><\/h3>\n<p class=\"cs80D9435B\"><span class=\"cs7A304846\">Der beste Schutz gegen diese Art von Betrug ist es, bei dubiosen Angeboten oder Rabatten Vorsicht walten zu lassen. E-Mails,\u00a0<\/span><span class=\"cs9B0541CF\"><a href=\"https:\/\/web.archive.org\/web\/20210620065650\/https:\/\/www.welivesecurity.com\/deutsch\/2016\/04\/11\/gunstige-ray-ban-sonnenbrillen-vorsicht-vor-facebook-scam\/\" target=\"_blank\" rel=\"noopener\"><span class=\"csAD66F6AD\">Nachrichten aus sozialen Netzwerken<\/span><\/a><\/span><span class=\"cs7A304846\">\u00a0oder SMS mit unrealistischen Rabatten sollten nicht weiter beachtet und als Spam markiert werden. Da die Nutzer im konkreten Fall selbst den Scam via WhatsApp verbreiten, sollten derartige Nachrichten auch von sonst vertrauensw\u00fcrdigen Kontakten nicht ernst genommen werden.<\/span><span class=\"cs5EFED22F\">\u00a0<\/span><\/p>\n<p class=\"cs80D9435B\"><span class=\"cs7A304846\">Wer bereits betroffen ist, sollte alle Anwendungen, die in diesem Zuge installiert wurden, sofort deinstallieren. Au\u00dferdem k\u00f6nnen sich Nutzer bei ihren Mobilfunkanbietern \u00fcber etwaige abgeschlossene Premium-SMS-Dienste informieren.\u00a0<\/span><span class=\"cs7A304846\">Mehr Informationen finden sich im ESET Blog <a href=\"https:\/\/web.archive.org\/web\/20220423014524\/https:\/\/www.welivesecurity.com\/deutsch\/2016\/11\/18\/whatsapp-betrug-emirates-flugtickets\/\" target=\"_blank\" rel=\"noopener\">WeLiveSecurity<\/a><\/span><span class=\"cs9B0541CF\">.<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Aktuell gibt es wohl eine neue Spielart von Locky, die nicht nur die Dateien verschl\u00fcsselt sondern auch den Dateinamen der Urspungsdatei verschleiert. Und eine neue Ransomware PrincessLocker verh\u00e4lt sich gar nicht so k\u00f6niglich. Zudem gibt es eine Schadsoftware zu WhatsApp &hellip; <a href=\"https:\/\/borncity.com\/blog\/2016\/11\/22\/neues-zu-ransomware-locky-variante-und-princesslocker\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161,301],"tags":[5681,5682,4715],"class_list":["post-184100","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","category-windows","tag-locky-variante","tag-princesslocker","tag-ransomware"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/184100","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=184100"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/184100\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=184100"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=184100"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=184100"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}