Erpressungs-Trojaner Locky markiert Geisel-Dateien mit .aesir-Endung
Wer plötzlich kryptisch bezeichnete Dateien mit der Endung .aesir auf seinem Computer vorfindet, hat sich die aktuelle Locky-Version eingefangen.
Der Erpressungs-Trojaner Locky kennzeichnet verschlüsselte Dateien neuerdings mit der Namenserweiterung .aesir, warnt das Notfall-Team des BSI CERT-Bund.
Hat der Schädling einen Windows-Computer infiziert, verschlüsselt er unter anderem private Daten und stellt den Schlüssel erst nach einer Lösegeldzahlung in Aussicht. Aktuell gibt es kein kostenloses Entschlüsselungstool.
Gefährliche Fake-Mails
Den Ransomware-Experten von Bleepingcomputer.com zufolge verschicken die Drahtzieher hinter dem Erpressungs-Trojaner aktuell im Namen von Telekommunikationsanbietern gefälschte E-Mails, mit gefährlichem Dateianhang. In den Mails sollen die Kriminellen behaupten, dass der eigene Computer zum Spam-Versand missbraucht wird. Im Anhang befinde sich ein Zip-Archiv, in dem eine ausführbare JS-Datei stecke, berichten die Sicherheitsforscher.
Wer auf die Fake-Mail hereinfällt und die vermeintliche Log-Datei aus dem E-Mail-Anhang öffnet, holt sich eine verschlüsselte DLL-Datei auf den Computer. Diese schießt sich in den legitimen Prozess Rundll32.exe und startet so die Locky-Infektion. Auf diese Vorgehensweise setzt Locky schon länger.
Nordische Mythologie
Verschlüsselte Dateien sehen zum Beispiel so aus: 016CCB88-61B1-ACB8-8FFA-86088F811BFA.aesir. Aufgrund der kryptischen Bezeichnung kann man als Opfer nicht mehr zuordnen, welche Dateien der Erpressungs-Trojaner erwischt hat. Das ist mittlerweile ein gängiges Konzept von Ransomware.
Bis vor kurzem kennzeichnete Locky gefangengenommene Dateien noch mit der Namenserweiterung .odin. Mit der Bezeichnung .aesir bleiben die Malware-Entwickler der nordischen Mythologie treu und verwenden abermals den Namen eines Gottes.
Parallel soll sich Locky auch über den Facebook-Messenger verbreiten. Dabei verschicken Kriminelle kommentarlos SVG-Grafiken von gekaperten Konten. Diese Grafiken verweisen auf verseuchte Webseiten.
Quelle: //heise.de/-3493965
Suche
- Brexit: IT-Branche bedauert Austritt der Briten aus der EU Freitag, 24. Juni 2016
- Google veröffentlicht Riesen-Patch-Paket für Android Freitag, 20. Januar 2017
- AVM entweicht geheimer FritzBox-Schlüssel Sonntag, 13. November 2016
- Erpressungs-Trojaner: Neue Locky-Welle infiziert Computer Freitag, 24. Juni 2016
- Upgrade auf Windows 10: Drückermethode wird noch aggressiver Dienstag, 31. Mai 2016
- Jetzt patchen! Exploit-Code für RDP-Lücke BlueKeep in Windows gesichtet Donnerstag, 23. Mai 2019
- Dynamit-Phishing: Emotet perfektioniert seine Angriffe weiter Montag, 15. April 2019
- Amazon-Mitarbeiter tippen zum Teil Alexa-Sprachbefehle ab Donnerstag, 11. April 2019
- Nach Microsoft-Patchday: KB4493472, KB4493446 und weitere Updates legen Windows lahm Donnerstag, 11. April 2019
- Störung in Microsofts Cloud führt zu Datenbankverlusten bei Azure Donnerstag, 31. Januar 2019
- Fahed Fatnassi: Das Gerät vereint einen leistungsst... Mittwoch, 23. November 2016
- Ralf Küpper: geiles Bild aber die Speaker sind s... Mittwoch, 23. November 2016
- Detlef: Professionelle Beratung. Man nahm s... Mittwoch, 23. November 2016
- netzwerkstudio: Top Preis/Leistungsverhältnis!... Mittwoch, 23. November 2016
- netzwerkstudio: Hochwertig verarbeitet, modular und... Mittwoch, 23. November 2016
