Erpressungs-Trojaner Locky markiert Geisel-Dateien mit .aesir-Endung
Wer plötzlich kryptisch bezeichnete Dateien mit der Endung .aesir auf seinem Computer vorfindet, hat sich die aktuelle Locky-Version eingefangen.
Der Erpressungs-Trojaner Locky kennzeichnet verschlüsselte Dateien neuerdings mit der Namenserweiterung .aesir, warnt das Notfall-Team des BSI CERT-Bund.
Hat der Schädling einen Windows-Computer infiziert, verschlüsselt er unter anderem private Daten und stellt den Schlüssel erst nach einer Lösegeldzahlung in Aussicht. Aktuell gibt es kein kostenloses Entschlüsselungstool.
Gefährliche Fake-Mails
Den Ransomware-Experten von Bleepingcomputer.com zufolge verschicken die Drahtzieher hinter dem Erpressungs-Trojaner aktuell im Namen von Telekommunikationsanbietern gefälschte E-Mails, mit gefährlichem Dateianhang. In den Mails sollen die Kriminellen behaupten, dass der eigene Computer zum Spam-Versand missbraucht wird. Im Anhang befinde sich ein Zip-Archiv, in dem eine ausführbare JS-Datei stecke, berichten die Sicherheitsforscher.
Wer auf die Fake-Mail hereinfällt und die vermeintliche Log-Datei aus dem E-Mail-Anhang öffnet, holt sich eine verschlüsselte DLL-Datei auf den Computer. Diese schießt sich in den legitimen Prozess Rundll32.exe und startet so die Locky-Infektion. Auf diese Vorgehensweise setzt Locky schon länger.
Nordische Mythologie
Verschlüsselte Dateien sehen zum Beispiel so aus: 016CCB88-61B1-ACB8-8FFA-86088F811BFA.aesir. Aufgrund der kryptischen Bezeichnung kann man als Opfer nicht mehr zuordnen, welche Dateien der Erpressungs-Trojaner erwischt hat. Das ist mittlerweile ein gängiges Konzept von Ransomware.
Bis vor kurzem kennzeichnete Locky gefangengenommene Dateien noch mit der Namenserweiterung .odin. Mit der Bezeichnung .aesir bleiben die Malware-Entwickler der nordischen Mythologie treu und verwenden abermals den Namen eines Gottes.
Parallel soll sich Locky auch über den Facebook-Messenger verbreiten. Dabei verschicken Kriminelle kommentarlos SVG-Grafiken von gekaperten Konten. Diese Grafiken verweisen auf verseuchte Webseiten.
Quelle: https://heise.de/-3493965
Suche
Anzeige
- Brexit: IT-Branche bedauert Austritt der Briten aus der EU Freitag, 24. Juni 2016
- Google veröffentlicht Riesen-Patch-Paket für Android Freitag, 20. Januar 2017
- AVM entweicht geheimer FritzBox-Schlüssel Sonntag, 13. November 2016
- Erpressungs-Trojaner: Neue Locky-Welle infiziert Computer Freitag, 24. Juni 2016
- Upgrade auf Windows 10: Drückermethode wird noch aggressiver Dienstag, 31. Mai 2016
- Cloud-Antivirensoftware hilft beim Datenklau aus luftdichten Netzwerken Montag, 31. Juli 2017
- BKA findet eine halbe Milliarde ausgespähte Zugangsdaten Dienstag, 11. Juli 2017
- Bundesrat bringt Staatstrojaner für die gängige Strafverfolgung auf die Spur Freitag, 7. Juli 2017
- Bundesnetzagentur setzt Vorratsdatenspeicherung aus Mittwoch, 28. Juni 2017
- Kein Patch für Denial-of-Service-Lücke in Windows Server Freitag, 16. Juni 2017
- Fahed Fatnassi: Das Gerät vereint einen leistungsst... Mittwoch, 23. November 2016
- Ralf Küpper: geiles Bild aber die Speaker sind s... Mittwoch, 23. November 2016
- Detlef: Professionelle Beratung. Man nahm s... Mittwoch, 23. November 2016
- netzwerkstudio: Top Preis/Leistungsverhältnis!... Mittwoch, 23. November 2016
- netzwerkstudio: Hochwertig verarbeitet, modular und... Mittwoch, 23. November 2016
