Anzeige

TrojanerDer gefährliche Erpressungs-Trojaner wird seit kurzem über Mails verbreitet, die vorgeben, dass der Empfänger ein Fax erhalten hat. Die Virenscanner können mit der aktuellen Locky-Fassung noch nicht viel anfangen.

Nach einer kurzen Pause verbreiten Online-Ganoven den Verschlüsselungs-Trojaner Locky nun mit einer weiteren neuen Masche: Sie verschicken Mails, die vorgeben, dass der Empfänger ein Fax erhalten hat. heise Security liegen verschiedene Versionen der aktuellen Locky-Kampagne vor. Eine Mail stammt vermeintlich von dem VoIP-Provider sipgate. Die Erpresser haben als Vorlage offenbar eine legitime Benachrichtigungs-Mail des Anbieters im HTML-Format missbraucht. Ihr Betreff lautet "Neues Fax von 034205-99***".

Krypto-Trojaner LockyDie in unserer Mail vollständig angegebene Faxnummer gehört offenbar zu einer Baufirma aus Leipzig. Der Empfänger wird mit dem Teil seiner Mail-Adresse angesprochen, der sich vor dem @ befindet. In der Mail wird der Empfänger aufgefordert, den Anhang zu öffnen: "Sie haben ein neues Fax in Ihrer Ereignisliste! Um das Fax zu lesen, bitte den Anhang öffnen". Abgesehen davon, dass die eingebetteten Bilder zum Zeitpunkt unserer Analyse nicht nachgeladen werden konnten, ist sie täuschend echt. Dass die Mail gar nicht von einem sipgate-Server verschickt wurde, erfährt man erst durch eine Auswertung des Headers. Sipgate warnt auf seiner Homepage inzwischen vor den Virenmails.

Virenpost vom Scanner

Eine weitere Mail ist deutlich einfacher aufgebaut. Ihr Betreff lautet "Scanned image", in der Mail heißt es "Image data in PDF format has been attached to this email". Die Mail ist simpel, aber vermutlich effektiv: Einige Multifunktionsgeräte und Kopierer mit Mail-Funktion verschicken durchaus ähnlich formulierte Nachrichten. Bei der Absenderadresse wird in diesem Fall die Domain der Mail-Adresse genutzt, an welche die Mail geschickt wurde, also etwa Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!. Als Absendername ist "admin" angegeben.

Im Anhang der Mails befindet sich ein ZIP-Archiv, das eine Skript-Datei mit der Endung .js enthält. Wer das Skript ausführt, fängt sich binnen weniger Sekunden den Verschlüsselungs-Trojaner Locky ein, der auch umgehend damit beginnt, alle möglichen Dateien zu verschlüsseln. Bei einer Analyse mit dem Virenscan-Dienst VirusTotal erkannten nur 3 von 55 Virenscannern das Locky-Binary. Bei dem Dienst kommen allerdings nicht alle Schutzfunktionen der Antivirenprogramme zum Einsatz. Es ist zum Beispiel möglich, dass ein Virenscanner, der bei VirusTotal durchgefallen ist, den Schädling auf einem echten System über die Verhaltsüberwachung identifizieren und stoppen kann.

Wer eine solche Mail erhält, sollte sie am besten sofort löschen. Öffnen Sie keinesfalls den Anhang.

Wie Sie Ihr System vor Locky schützen und was nach einer Infektion noch zu retten ist, wurde im folgenden Artikel zusammengefasst: Krypto-Trojaner Locky: Was tun gegen den Windows-Schädling.
 


Weitere Artikel

Phishing

Wachsende Gefahr durch OAuth-Attacken

Mit den bereits vor einigen Jahren eingeführten Applikationen auf Basis von Open Authorization (OAuth) konnten die großen Cloud-Plattformen wie Microsoft 365 und Google Workspace ihren Funktionsumfang vergrößern und gleichzeitig ihre Benutzeroberflächen…
Backdoor

Chinesische APT-Backdoor richtet sich gegen den russischen Verteidigungssektor

Das Cybereason Nocturnus Team untersucht in seinem Bericht die jüngsten Entwicklungen beim RoyalRoad Weaponizer, auch bekannt als 8.t Dropper / RTF Exploit Builder. Im Laufe der Jahre ist dieses Tool Bestandteil der Arsenale verschiedener chinesischer…
Hacker

Wenn Hacker Supply-Chains attackieren droht das Logistik-Chaos

Hackerangriffe bedrohen die globalen Lieferketten, wie eine Analyse der Logistikbranche der Sicherheitsforscher von BlueVoyant zeigt. In der Industrie könnten solche Attacken zu Chaos führen.
Hacker

Häufigste Cyber-Angriffe: Denial of Service und Passwort-Login

Denial-of-Service- (DoS) und Passwort-Login-Attacken wie Brute-Force- und Credential-Stuffing-Angriffe sind auf dem Vormarsch.
DDoS

DDoS-Erpressungsangriffe richtig abwehren

Laut NETSCOUTs Threat Intelligence Report befindet sich die heutige Cyberbedrohungslandschaft in höchster Alarmstufe.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.