Die schreckliche Ransomware ist mit zwei neuen Varianten zurück, nämlich „Diablo“ und „Lukitus“.
Sicherheitsforscher haben kürzlich zwei neue Locky-Ransomware-Stämme, Diablo und Lukitus, entdeckt. Wie andere Arten kryptosperrender Ransomware sind sie auch darauf ausgelegt, Dateien auf einem PC zu verschlüsseln und im Austausch für den Entschlüsselungsschlüssel ein Lösegeld zu verlangen. Diese neuen Varianten wurden von Forschern am 16. August 2017 gemeldet.
„Bei Ransomware geht es mehr um die Manipulation von Schwachstellen in der menschlichen Psychologie als um die technologische Raffinesse des Gegners.“
? James Scott
Locky war eine der wichtigsten Formen von Ransomware, die weltweit erfolgreich war. Zum ersten Mal erschien es im Jahr 2016 und Ende des Jahres verschwand es. Aber wenn Sie denken, dass es keine Bedrohung mehr darstellt, dann liegen Sie falsch. Nachdem es dunkel wurde, ist Locky mit dem Necurs-Botnetz zurück, einem der größten Botnetze, das für Angriffe genutzt wird.
Seit dem 9. August ist Locky erneut aufgetaucht und verwendet eine neue Dateierweiterung „.diablo6“, um Dateien mit zu verschlüsseln der Rettungshinweis: „diablo-.htm“. Diablo ruft einen anderen Befehls- und Kontrollserver zurück. Daneben gibt es eine weitere neue Variante, die verschlüsselten Dateien die Erweiterung „.Lukitus“ hinzufügt.
Interessanterweise bedeutet Lukitus auf Finnisch Sperren.
Die neue Kampagne versendet Spam-E-Mails in Form von PDF-Anhängen mit eingebetteten .DOCM-Dateien. Wenn der Benutzer den Anhang herunterlädt und Makros wie angefordert aktiviert, verliert er den Zugriff auf die Dateien auf seinem Computer.
Sobald alle Daten verschlüsselt sind, wird ein Lösegeld verlangt, wenn die Eigentümer den privaten Schlüssel erhalten möchten um die Daten zu entschlüsseln. Locky ist weniger verbreitet, stellt jedoch aufgrund seiner starken Kryptographie immer noch eine ernsthafte Bedrohung dar.
Diese Kampagne ist ein Augenöffner für uns alle, die angenommen haben, dass Locky verschwunden ist, nur weil es für eine bestimmte Zeit nicht aktiv ist . Dies ist nicht das erste Mal, dass Locky wieder auftaucht. Es bleibt eine Zeit lang geheimnisvoll und taucht dann mit neuen Infektionen auf.
Das plötzliche Wiederauftauchen von Locky kann mit den Entschlüsselungstools für die Jaff-Ransomware zusammenhängen, die entwickelt wurden verfügbar im Juni. Jaff tauchte im Mai auf und wurde von demselben Necrus-Botnetz verbreitet, das auch Locky verbreitete.
Dies beweist, dass Ransomware uns nicht so schnell verlassen wird, also müssen wir weiterhin neue Strategien und Techniken entwickeln, um sie zu bekämpfen .
Locky-Varianten, Rückruf an einen anderen Befehls- und Kontrollserver (C2) und Verwendung der Affiliate-ID: AffilID3 und AffilID5
Lesen: 0
