Menü
Security

Neue Virenwelle: Krypto-Trojaner Locky tarnt sich als Fax

Der gefährliche Erpressungs-Trojaner wird seit kurzem über Mails verbreitet, die vorgeben, dass der Empfänger ein Fax erhalten hat. Die Virenscanner können mit der aktuellen Locky-Fassung noch nicht viel anfangen.

Von
vorlesen Drucken Kommentare lesen 269 Beiträge
Neue Locky-Welle: Krypto-Trojaner tarnt sich als Fax

Nach einer kurzen Pause verbreiten Online-Ganoven den Verschlüsselungs-Trojaner Locky nun mit einer weiteren neuen Masche: Sie verschicken Mails, die vorgeben, dass der Empfänger ein Fax erhalten hat. heise Security liegen verschiedene Versionen der aktuellen Locky-Kampagne vor. Eine Mail stammt vermeintlich von dem VoIP-Provider sipgate. Die Erpresser haben als Vorlage offenbar eine legitime Benachrichtigungs-Mail des Anbieters im HTML-Format missbraucht. Ihr Betreff lautet "Neues Fax von 034205-99***".

Krypto-Trojaner Locky tarnt sich als Fax (4 Bilder)

Fax-Benachrichtigung von sipgate

Locky wird aktuell über Mails verbreitet, die angeblich von sipgate stammen. Wer der Aufforderung nachkommt und den Anhang öffnet, fängt sich den Krypto-Trojaner ein.

Die in unserer Mail vollständig angegebene Faxnummer gehört offenbar zu einer Baufirma aus Leipzig. Der Empfänger wird mit dem Teil seiner Mail-Adresse angesprochen, der sich vor dem @ befindet. In der Mail wird der Empfänger aufgefordert, den Anhang zu öffnen: "Sie haben ein neues Fax in Ihrer Ereignisliste! Um das Fax zu lesen, bitte den Anhang öffnen". Abgesehen davon, dass die eingebetteten Bilder zum Zeitpunkt unserer Analyse nicht nachgeladen werden konnten, ist sie täuschend echt. Dass die Mail gar nicht von einem sipgate-Server verschickt wurde, erfährt man erst durch eine Auswertung des Headers. Sipgate warnt auf seiner Homepage inzwischen vor den Virenmails.

Eine weitere Mail ist deutlich einfacher aufgebaut. Ihr Betreff lautet "Scanned image", in der Mail heißt es "Image data in PDF format has been attached to this email". Die Mail ist simpel, aber vermutlich effektiv: Einige Multifunktionsgeräte und Kopierer mit Mail-Funktion verschicken durchaus ähnlich formulierte Nachrichten. Bei der Absenderadresse wird in diesem Fall die Domain der Mail-Adresse genutzt, an welche die Mail geschickt wurde, also etwa southlands501@heise.de. Als Absendername ist "admin" angegeben.

Im Anhang der Mails befindet sich ein ZIP-Archiv, das eine Skript-Datei mit der Endung .js enthält. Wer das Skript ausführt, fängt sich binnen weniger Sekunden den Verschlüsselungs-Trojaner Locky ein, der auch umgehend damit beginnt, alle möglichen Dateien zu verschlüsseln. Bei einer Analyse mit dem Virenscan-Dienst VirusTotal erkannten nur 3 von 55 Virenscannern das Locky-Binary. Bei dem Dienst kommen allerdings nicht alle Schutzfunktionen der Antivirenprogramme zum Einsatz. Es ist zum Beispiel möglich, dass ein Virenscanner, der bei VirusTotal durchgefallen ist, den Schädling auf einem echten System über die Verhaltsüberwachung identifizieren und stoppen kann.

Erpressungs-Trojaner Locky spricht Deutsch (4 Bilder)

Hat man sich Locky eingefangen, hinterlässt die Ransomware eine eindeutige Botschaft auf dem Desktop.

Wer eine solche Mail erhält, sollte sie am besten sofort löschen. Öffnen Sie keinesfalls den Anhang. Wie Sie Ihr System vor Locky schützen und was nach einer Infektion noch zu retten ist, haben wir in folgendem Artikel zusammengefasst:

(rei)