Neuer Erpressungstrojaner imitiert die Ransomware Locky

wp_autolockyDie Experten von Emsisoft schauten nicht schlecht, als Ihnen eine neue Variante der Ransomware Locky ins Netz ging. Aber ausser, dass sich dieser Trittbrettfahrer Locky nennt und den verschlüsselten Dateien, die Erweiterung .Locky anhängt, hat diese Malware nicht viel mit der “echten” Ransomware Locky gemein.

Genaue Analysen des Emisoft Experten Fabian Wosar zeigte zudem, dass der vorliegende Locky-Fake, den sie “AutoLocky” nennen, in mehreren Merkmalen nicht der echten Locky-Infektion entspricht. Zum Einen wurde die Fälschung in der Scriptsprache AutoIt erstellt, zum anderen findet die Kommunikation nicht wie üblich über gesicherte Tor-Verbindungen mit dem Command and Controll-Server statt und zu guter Letzt ist der Erpresserbrief, wie von bleepingcomputer.com dargestellt, ganz anders gestaltet (siehe Bild). Auch wenn der Verbreitungsweg den Experten noch unbekannt ist, soll AutoLocky als gefälschte PDF-Datei über Anhänge von E-Mail in den Umlauf gebracht werden. Einmal installiert, scannt AutoLocky alle Laufwerke und verschlüsselt die persönlichen Daten mit dem AES-128-Algorithmus. Nach der Verschlüsselung werden die üblichen Erpresserbriefe auf dem System hinterlassen und der Desktop mit einer flächendeckender Meldung gesperrt.

Bildschirmfoto 2016-04-18 um 10.35.15

Bild: bleepingcomputer.com – Warnung der AutoLocky Ransomware

AutoLocky ist die erste Ransomware, die über die Scriptsprache AutoIt erstellt wurde. Mit AutoIt wurden anfänglich diverse Automationen wie z.B. Installationsscripte auf microsoftbasierten System erstellt. Durch ständige Weiterentwicklung lassen sich mittlerweile sogar selbstständige Anwendungen entwickeln. Der Nachteil bzw. hier zum Vorteil, programmierte und kompilierte Anwendungen lassen sich recht einfach decompilieren, sodass hier die Experten auf den ursprünglichen Code zurückgreifen konnten.

Auch wenn sich die Experten über Infektionswege noch im unklaren sind, hat auch diese Ransomware Variante “AutoLocky” das Ziel, bzw. ist in der Lage die persönlichen Daten des Anwenders zu verschlüsseln und für dessen Freigabe ein Lösegeld von seinem Opfer zu erpressen. 

Angst und Einschüchterung ist die Motivation der Kriminellen: Wir von Botfrei schließen uns der Meinung des BSI, dem BKA und Polizeibehörden an und raten dringend davon ab, hier das Lösegeld an die Cyberkriminellen zu bezahlen!

 

Betroffene Opfer können schon auf einen von Emisoft bereitgestellten Decrypter zurückgreifen!

Wenn das System mit AutoLocky infiziert wurde, sollte als erstes der Autostart-Ordner nach Start.lnk bzw. unbekannten Verlinkungen überprüft und die weiterführende Verknüpfung zur ausführbaren Datei überprüft und gelöscht werden. Zudem soll der Prozess zu dieser Datei im Taskmanager beendet werden.

Bildschirmfoto 2016-04-18 um 12.30.08

Bild: bleepingcomputer.com – AutoLocky-Decrypter

  • Der Startup-Link wird in %Userprofile% \ AppData \ Roaming \ Microsoft \ Windows \ Startmenü \ Programme \ Startup \ Start.lnk abgelegt.
  • Wurde der Autostart-Link, Datei und der Prozess gelöscht, laden Sie den Emisoft AutoLocky-Decryptor herunter.
  • Starten Sie nach dem Download die decrypt_autolocky.exe mit Doppelklick und bestätigen die UAC-Prompt mit “Ja” um die Installation des Decrypters fortzuführen. Nachdem der Decrypter gestartet ist, wird versucht der Entschlüsselung-Code für ihr System zu finden und startet anschließend nach Bestätigung der Lizenzbedingungen standardmäßig die Wiederherstellung der Daten auf Laufwerk C:. Weitere Laufwerke können hinzu gefügt werden. Weiterführende Anleitung bei Bleepingcomputer.com >>

Sie haben eine Ransomware auf dem System und möchten wissen um welche Variante es sich handelt und ob es bereits diverse Maßnahmen gibt? Lesen sie dazu unseren weiterführenden Beitrag>>

Hilfe-Forum – Das Botfrei-Team bietet ein kostenfreies Forum an. Experten helfen „Schritt für Schritt“ bei der Lösung, Entfernung und nachhaltigen Absicherung des Computers.

Darauf sollten Sie im Forum achten: Damit die Experten auf Sie aufmerksam werden und helfend unterstützen können, sollten Sie sich im Forum anmelden und einen Beitrag erstellen in dem Sie Ihr Problem schildern. Nur dann kann individuell geholfen und die Infektion entfernt werden!

1 thought on “Neuer Erpressungstrojaner imitiert die Ransomware Locky”

Kommentare sind geschlossen.