Gdata Locky

Datenverriegelung für Gdata

Beliebte Familien sind CryptoLocker (nicht mehr aktiv), CryptoWall, CTB-Locker, Locky, TeslaCrypt und TorrentLocker. Die neue Locky-Version wechselt die Dateierweiterung auf *.ODIN. Die Hersteller des berüchtigten Locky-Ransomware haben Ende des Monats eine neue Ausgabe ihres Erpressungsstrojans herausgebracht. Offensichtlichster Unterschied: Die chiffrierten Daten haben alle die Dateierweiterung "*.

odin". Nach dem erfolgreichen Laden von Locky wird umgehend nach einer Datei mit spezifischen Erweiterungen gesucht, die dann kodiert wird. Grundsätzlich kann jeder beliebige Datei-Typ kodiert werden. Dies ist ein Ausschnitt aus der Auflistung der von Locky/Odin kodierten Dateitypen:

Außerdem werden die in den nachfolgenden Ordnern enthaltenen Daten von der Firma 0din verschlüsselt: Die verschlüsselten Daten werden nach dem nachfolgenden Verfahren umbenannt: In jedem der betreffenden Verzeichnisse wird eine Abschrift des Erpressungsschreibens gespeichert, um den Benutzer zu informieren: Der Brief beinhaltet einerseits Informationen darüber, was die Malware geleistet hat, und andererseits Hinweise, wie man die erforderliche Lösegeldmenge bezahlt, um befallene Daten zu entziffern.

Dann setzt sich Locky mit seinem Kontroll-Server in Verbindung. Ähnlich wie bei früheren Locky-Varianten gibt es zur Zeit keine Möglichkeit, mit Locky verschlüsselte Daten zu dechiffrieren. Neben der Verschlüsselung von Daten schaltet Locky auch automatische Shadowkopien aus und entfernt vorhandene Shadowkopien, um eine rasche Wiederherstellung zu verhindern. In der jetzigen Fassung werden die betreffenden Dateinamen neben der modifizierten Dateiendung nach einem anderen Schema benannt; darüber hinaus bietet die Firma 0din auch einen erweiterter Verschlüsselungsalgorithmus für weitere Sendungen.

Es werden jedoch im Laufe der Infizierung keine personenbezogenen Nutzungsdaten auf den Control-Server übertragen. Nur acht Monaten sind seit dem Erscheinen der Locky-Ransomware verstrichen. Allerdings ist Locky heute eine der grössten Gefahren für Erpressungssoftware. Aufgrund seiner sich ständig weiterentwickelnden Infektionsmethoden und Vertriebswege ist es nicht wahrscheinlich, dass Locky in absehbarer Zeit in den Hintergrund drängen wird.

Locky zeigt in seiner jüngsten Form einmal mehr, dass permanente Aufmerksamkeit und verstärkte Sicherheitsvorkehrungen die vielversprechendsten Abwehrstrategien gegen diese Form der Gefährdung sind. Obwohl es sich bei dem Produkt nur um ein kleines Upgrade im Vergleich zu seinem Vorgänger "zepto" handelte, hat Locky die Infektionsraten erneut verbessert und seine Umgehungsstrategien gegenüber der Security-Software erweitert.

Downloaded Locky DLL: Locky verwendet nun auch die Dateierweiterungen. shut und .thor.

Mehr zum Thema