Upgrade für Locky: die Ransomware verschlüsselt jetzt auch offline

Keine Kommentare
 

Seit Beginn dieses Jahres wütet, insbesondere in Deutschland, Dateien verschlüsselnde Ransomware mit besonderer Heftigkeit. Zu den besonders erfolgreichen Exemplaren dieser Art zählt der Verschlüsselungs-Trojaner “Locky”: Bis zu 5000 Neuinfektionen pro Stunde zählte Sicherheitsforscher Kevon Beaumont im Februar. Auf die kontinuierlichen Bemühungen der AV-Firmen, effektiven Schutz und Verschlüsselungs-Tools zu entwickeln, reagieren die Malware-Schreiber ihrerseits mit ausgefeilteren Infektionstechniken. So auch im Falle von Locky: Laut eines Blogeintrags von Avira verschlüsselt die Ransomware Dateien jetzt auch offline.


Festplatte

Upgrade für Locky: die Ransomware verschlüsselt jetzt auch offline (pixabay.com/chrisli8020)

Bisher verschlüsselte Locky Dateien auf infizierten PCs nur bei vorhandener Internet-Verbindung. Der Grund: Bei der RSA-Verschlüsselung kommen sowohl ein so genannter Public als auch ein Private Key zum Einsatz. Um eine Entschlüsselung ohne Zahlung zu unterbinden, wurde bei älteren Locky-Versionen ein entfernter Command-and-Control-Server kontaktiert, um pro infiziertem PC einen eindeutigen Public Key zu generieren und zu speichern. Nun findet dieser Prozess direkt auf dem Rechner statt. Einzelheiten zum lokalen Speicherort des Keys nannten die Experten von Avira jedoch nicht.

Neue Technik birgt Vor- und Nachteile für Locky Entwickler

Bislang setzte Locky auf einen Domain Generation Algorithm (DGA), der regelmäßig neue Domain-Namen generierte, um auf verschiedene Arten mit den C&C-Servern in Kontakt zu treten. Solche Algorithmen können von Sicherheitsforschern und Behörden untersucht und nachvollzogen werden, um die generierten Domains selbst zu registrieren und den Netzwerk-Traffic der Ransomware in Ruhe zu analysieren. Dieses Risiko entfällt bei Lockys Offline-Verfahren ebenso wie das aufwändige und kostspielige Verschleiern der Server-Standorte. Die Offline-Technik hat allerdings auch einen Nachteil für die Ransomware-Entwickler: Sie müssen künftig auf detaillierte Statistiken zur Anzahl und geografischen Verteilung geglückter Infektionen verzichten.

Zweite Neuerung: Locky kommt per Quant Loader

Nicht nur der Verschlüsselungsvorgang wurde überarbeitet: Sicherheitsforscher von Forcepoint berichteten außerdem von einer neuen Infektionstechnik. Bisher wurde Locky durch Makro-Code oder mittels eine Scripts direkt aus schädlichen E-Mail-Anhängen extrahiert. Neuerdings laden die Scripts und Makro-Codes den Schädling nicht mehr direkt nach. Stattdessen wählen sie den Umweg über einen so genannten Downloader, der in russischen Untergrundforen als Quant Loader angeboten wird. Dieser Loader ist laut seiner Entwickler in der Lage, Locky oder andere Schädlinge besonders unauffällig und unbemerkt von AV-Programmen nachzuladen.

Über Browser Security

Browser Security ist Ihr Browser-Add-on zum Schutz vor Phishing-Domains und gefährlichen Malware-Angriffen. Vertrauen Sie unserer Live-Protection und der E-Mail-Kontrolle für ein bedenkenloses Surf-Erlebnis und schützen Sie sich effektiv vor Datenklau!

 
Keine Kommentare

Kommentar hinterlassen