Hannover Messer 2018
23.04.18 - 27.04.18
In Hannover

Rethink! IT Security D/A/CH
25.04.18 - 27.04.18
In Hotel Atlantic Kempinski Hamburg

CEBIT 2018
11.06.18 - 15.06.18
In Hannover

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

next IT Con
25.06.18 - 25.06.18
In Nürnberg

RansomwareVor kurzem hat Malwarebytes eine neue bösartige Spam-Welle entdeckt, die sich über das Necurs-Botnetz verbreitet und zwei neue Varianten der Locky Ransomware verteilt.

In Malwarebytes letztem Q2 2017 Report zu Malware Taktiken und Techniken wurde bereits dargestellt, dass die Locky Ransomware mit einer neuen Erweiterung aufgetaucht, daraufhin allerdings für Monate wieder von dem Radar verschwunden ist.

Locky Ransomware mit einer neuen Erweiterung aufgetaucht

Seit dem 9. August ist Locky wieder mit einer neuen Dateierweiterung “.diablo6” aktiv und verschlüsselt Dateien mithilfe der Rescue Note: “diablo6-[random].htm“. Die heute aufgetauchte Locky Malware-Welle verbreitet eine neue Locky-Variante mit der Erweiterung “.Lukitus” sowie der Rescue Note: “lukitus.html“.

“.diablo6”

Locky verbreitet sich Ransomware-typisch mit der Hilfe von Spam-Emails, die schadhafte Microsoft-Office- oder ZIP-Dateianhänge enthalten.

Spam-Emails

Die Locky-Varianten fallen auf einen anderen Command- und Kontroll-Server (C2) zurück und nutzen die Affiliate ID: AffilID3 und AffilID5

Locky-Varianten fallen auf einen anderen Command- und Kontroll-Server (C2) zurück

Innerhalb der letzten Monate ging die Verbreitung von Locky drastisch zurück und konnte zeitweise überhaupt nicht mehr festgestellt werden. Daraufhin tauchte der Ransomware-Typ erneut auf, verschwand wieder, um danach ein weiteres Mal zu erscheinen. Diese Ups und Downs von Locky bleiben unerklärlich. Allerdings sollte man sich dadurch im Klaren darüber sein, dass man nie davon ausgehen sollte, dass Locky komplett verschwunden ist, nur weil der Ransomware-Typ zu einer bestimmten Zeit nicht aktiv ist.

Locky Eweiterungs-Verlauf

Locky Eweiterungs-Verlauf

Aktive Kampagnen:

9. August: MalSpam angehängte .zip-Datei mit .vbs Malware.

  • VBS: 4c1975295603dbb3994627a499416b71

Payload: 0d0823d9a5d000b80e27090754f59ee5

11. August: MalSpam angehängtes PDF mit eingebetteten .DOCM Dateien.

  • PDF: 84fd7ba91a587cbf8e20d0f2d5fda285
  • DOC: 97414e16331df438b2d7da0dad75a8d5

Payload: 9dcdfbb3e8e4020e4cf2fc77e86daa76

14. August: MalSpam angehängte RAR-Datei mit .JS Malware.

  • JS: badea58f10d5d2bb242962e3c47ff472

Exe: 6b4221adf0ecb55cd1a4810330b4e1e4

15. August: MalSpam angehängte ZIP-Datei mit .JS Malware.

  • JS: 5f1af4f2702a6bc7f5250c9879487f66

Exe: 89ed8780cae257293f610817d6bf1a2e

16. August: MalSpam angehängte ZIP-Datei mit .JS Malware.

  • JS: f2c97bd1793ff93073bfde61d12f482b

Exe: 4baa57a08c90b78d16c634c22385a748

Schutz

Malwarebytes schützt auf mehreren Ebenen vor dieser Attacke, dazu zählt Makro-und Ransomware-Entschärfung, wobei keines davon ein dezidiertes Update benötigt.

Schutz von Malwarebytes

Marcelo Rivero

de.malwarebytes.com
 

GRID LIST
Gérard Bauer

Vermeintlich russische Cyberattacken auf westliche IT-Infrastrukturen

Am Montag erklärten das US-Heimatschutzministerium, das FBI und das britische National…
Paul Parker

Cybersecurity im Gesundheitswesen

Nach Ansicht von Paul Parker, Cheftechnologe des Geschäftsbereichs für Regierungsbehörden…
Tb W190 H80 Crop Int 0a77a97abba355a6171f9e666819821a

Minecraft: Spieler sind von Schadsoftware in modifizierten „Skins“ bedroht

Eine Datenanalyse der vergangenen 30 Tage von Avast ergab, dass nahezu 50.000…
Tb W190 H80 Crop Int Cb37aa6c2115131c19c11ce3765ccfaf

Linux-Update mit Spectre- und Meltdown-Absicherung

Linux-Version 4.16 ist freigegeben. Neben einer optimierten Akkulaufzeit überzeugt die…
Kryptomining

Kryptomining – des einen Gewinn, des anderen Verlust

Kryptowährungen sind derzeit in aller Munde. Doch während sich das sogenannte Schürfen,…
Tb W190 H80 Crop Int D0056b181c01db247eae98c08298b41c

Deutschlands Maschinenbauer im Visier von Cyber-Attacken

Der Verband Deutscher Maschinen- und Anlagenbau e.V. (VDMA) veröffentlichte kürzlich eine…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security