by: Sascha KuhrauPosted on:

Locky lässt nicht locker — 5.000 Infektionen pro Stunde

!!!! WICHTIGE INFORMATIONEN !!!!

Alle Datei­en wur­den mit RSA-2048 und AES-128 Zif­fern ver­schlüs­selt.
Die Ent­schlüs­se­lung Ihrer Datei­en ist nur mit einem pri­va­ten Schlüs­sel und einem Ent­schlüs­se­lungs­pro­gramm, wel­ches sich auf unse­rem Ser­ver befin­det, mög­lich.

Wenn die­se Mel­dung auf Ihrem Bild­schirm erscheint, haben die Pro­gram­mie­rer von Locky mit ziem­li­cher Wahr­schein­lich­keit Ihre vol­le Auf­merk­sam­keit. Die auf den pas­sen­den Namen Locky getauf­te Form des aktu­ell gras­sie­ren­den Kryp­to-Tro­ja­ners ist sehr erfolg­reich. Gera­de in Deutsch­land sind es zur Zeit über 5.000 Infek­tio­nen in der Stun­de. Wohl­ge­merkt, in der Stun­de!  In den Nie­der­lan­den sind es gera­de mal 2.900 pro Stun­de, deut­lich weni­ger.

Locky ist hilfs­be­reit

Der ein­gangs erwähn­te Hin­weis erscheint bei aktu­el­len Infek­tio­nen mitt­ler­wei­le auf Deutsch. Zum bes­se­ren Ver­ständ­nis sind Links hin­ter­legt, die dem Opfer anhand von Wiki­pe­dia-Ein­trä­gen zu RSA und AES die Aus­sichts­lo­sig­keit der Situa­ti­on vor Augen hal­ten.

Unter den Infi­zier­ten fin­den sich auch bekann­te Namen. So mel­det dpa die erfolg­rei­che Infek­ti­on eines Fraun­ho­fer-Insti­tuts in Bay­reuth. Dort sind cir­ca 60 Arbeits­plät­ze von dem erfolg­rei­chen Kryp­to-Tro­ja­ner betrof­fen, die Datei­en voll­stän­dig ver­schlüs­selt. Ähn­lich zu dem bekannt gewor­de­nen Vor­fall im Lukas­kran­ken­haus in Neuss wird auch hier ein unvor­sich­ti­ger Mit­ar­bei­ter ver­mu­tet, der einen mani­pu­lier­ten Datei-Anhang in einer Email geöff­net hat. Damit nahm das Unheil sei­nen Lauf.

Funk­ti­ons­wei­se von Locky

Locky ist sehr kon­takt­freu­dig. Ein­mal aktiv, ver­schlüs­selt der Tro­ja­ner nicht nur die Datei­en auf der loka­len Fest­plat­te, son­dern macht sich auch über Netz­frei­ga­ben und ange­schlos­se­ne exter­ne Spei­cher­me­di­en her. Cloud-Spei­cher sind eben­falls ein gefun­de­nes Fres­sen für Locky. Fin­det die­ser dort Datei­en sei­nes Such­ras­ters, dann wer­den die­se eben­falls ver­schlüs­selt. Zyni­sche Zeit­ge­nos­sen mei­nen, damit wäre dann zumin­dest der Zugriff durch aus­län­di­sche Geheim­diens­te auf die­se Daten kein The­ma mehr.

Der Kryp­to-Tro­ja­ner Locky ver­brei­tet sich zur Zeit größ­ten­teils über Email-Anhän­ge. Beson­ders beliebt sind hier­bei Office-Doku­men­te, die Makro-Code ent­hal­ten. Hier kann die IT schon mal tech­nisch ein­grei­fen und zumin­dest durch Sys­tem­ein­stel­lun­gen das auto­ma­ti­sche Aus­füh­ren sol­ches Codes ver­hin­dern. Löst der Nut­zer die Aus­füh­rung manu­ell aus, dann ist dage­gen lei­der kein Kraut gewach­sen. Ob Locky in bal­di­ger Zukunft auch über ande­re Kanä­le auf die PC der Opfer gelangt, wird sich zei­gen.

Update 13.02.2016: Mitt­ler­wei­le wird Locky auch über Exploit-Kits durch Sicher­heits­lü­cken im Brow­ser oder Zusatz­soft­ware wie Flash auf die PC über­tra­gen. So kann bereits der Besuch ent­spre­chend prä­pa­rier­ter Web­sei­ten zu Infek­tio­nen durch Locky und der dazu­ge­hö­ri­gen Ver­schlüs­se­lung des PC füh­ren.