Erpressungssoftware Trojaner "Locky" hat eine neue Tarnung

Seit Tagen plagt der Trojaner "Locky" Computernutzer. Jetzt haben Betrüger der Schadsoftware eine neue Tarnung gegeben: Sie wird in einer Phishing-E-Mail unter dem Namen eines Telefonieanbieters verschickt.

Sipgate-Warnung: "Keine Zip-Files öffnen!"
sipgate

Sipgate-Warnung: "Keine Zip-Files öffnen!"


"Locky" geht den deutschen Internetnutzern weiter auf die Nerven. Der Verschlüsselungstrojaner ist seit einigen Tagen im Umlauf, jetzt hat er offenbar einen neuen Deckmantel. Sipgate, ein Düsseldorfer Anbieter für Internet-Telefonie, rät zur Vorsicht, wenn man eine E-Mail mit seinem Namen und Logo erhält. "Es werden täuschend echte E-Mails mit unserem Namen und Logo verschickt", steht derzeit prominent auf der Unternehmens-Website, auch über die Social-Media-Accounts wird gewarnt.

Im Sipgate-Blog heißt es, an die Betrüger-E-Mails sei eine Zip-Datei angehängt, in der sich eine Java-Script-Datei befindet, die einen noch unbekannten Trojaner nachlädt. Sipgate würde aber keine Zip-Dateien verschicken. Die Phishing-E-Mails gehen laut Sipgate sowohl an Kunden als auch Nichtkunden des Unternehmens.

Laut einem Bericht von "Heise Online" wird mit den vermeintlichen Sipgate-E-Mails der Kryptotrojaner "Locky" verbreitet, der seit einigen Tagen vor allem in Deutschland für Unmut sorgt. Ein "Heise"-Screenshot zeigt eine der vermeintlichen Sipgate-E-Mails mit dem Hinweis "Sie haben ein neues Fax in Ihrer Ereignisliste". Wer die E-Mail bei sich entdeckt, solle sie sofort löschen, rät das Tech-Magazin.

Locky ist bekannt - und gefährlich

Locky kann man sich als Erpressungssoftware vorstellen: Windows-Rechner werden mit einem Trojaner infiziert, der wichtige Dateien zunächst verschlüsselt und dann umbenennt. Die Dokumente haben nach dem Prozess die Endung .locky, daher hat der Trojaner seinen Namen. Die Verschlüsselung ist offenbar kaum zu knacken, nach Angaben der Erpesser werden die Dateien mit einem RSA-Kryptoschlüssel und einer AES-Verschlüsselung unbrauchbar gemacht.

Sobald die Dateien verschlüsselt sind, erscheint ein Erpresserbrief mit einer Lösegeldforderung. In dem Brief steht, dass die Dateien nur mit einer speziellen Software gerettet werden können. Und für diese Software verlangen die Erpresser einen Betrag von 0,5 Bitcoin, was laut dem aktuellen Kurs der Digitalwährung rund 200 Euro entspricht.

Grundsätzlich wird bei Erpressersoftware davon abgeraten, das Geld zu bezahlen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zum Beispiel weist darauf hin, dass Kriminelle in vielen Fällen auch nach einer Zahlung einfach darauf verzichten, die Daten wirklich freizuschalten. Betroffene sollten lieber den Bildschirm samt der Erpressungsnachricht fotografieren und Anzeige erstatten.

In Deutschland sind Sicherheitsforschern zufolge schon mehrere Tausend Rechner mit Locky infiziert. Vergangenen Freitag schätzte der britische IT-Experte Kevin Beaumont auf SPIEGEL-ONLINE-Nachfrage, dass "Locky" allein in den vorherigen 24 Stunden etwa 17.000 Rechner in Deutschland infiziert habe. "Locky" kann man sich über Phishing-E-Mails, Berichten zufolge aber auch über bestimmte Websites einfangen.

Zunächst war ein Wurstwarenkonzern das Lockmittel

Sipgate ist nicht das erste Unternehmen, dessen Namen "Locky"-Betrüger als Deckmantel für Phishing-E-Mails verwenden. Bei einer vorherigen "Locky"-Welle, die ebenfalls speziell auf deutsche Nutzer zielte, wurden vermeintliche Rechnungen eines Wurstwarenkonzerns verschickt.

Dieser hatte wie Sipgate nichts mit dem Trojaner zu tun, sah sich in Folge der E-Mails aber mit einer großen Zahl von Nutzeranfragen konfrontiert. "Heise Online" berichtete Montag, durch die "Mailflut" sei die digitale Infrastruktur des Unternehmens am Freitag für sechs bis sieben Stunden lahmgelegt worden.


Drei Tipps zum Schutz vor Schadsoftware

  • Seien Sie vorsichtig mit E-Mail-Anhängen

Deaktivieren Sie die Makro-Funktion in Dokumenten, die Sie per E-Mail erhalten. Vor allem bei Nachrichten von fremden Personen sollten Sie vorsichtig sein. "Locky" wird nach Angaben von Sicherheitsexperten in aller Regel über E-Mail-Anhänge eingeschleust, die sich etwa als harmloses Word-Dokument tarnen, aber im Hintergrund die gefährliche Software ausführen. Sie sollten allgemein keinen E-Mail-Anhang öffnen, von dem Sie nicht genau wissen, von wem er kommt.

  • Daten per Back-up sichern

"Locky" verschlüsselt die Dateien nach Angaben der Erpresser so gut, dass sie unbrauchbar werden. Sichern Sie Ihre Daten also möglichst per Back-up, damit sie Ihre Dokumente im Notfall wiederherstellen können. Am besten eignet sich eine dafür eine Festplatte, die nicht ständig mit dem PC verbunden ist, beispielsweise eine externe USB-Platte.

  • Verwenden Sie aktuelle Software

Um Sicherheitslücken zu schließen, sollten Sie möglichst alle Programme auf Ihrem Rechner auf den neuesten Stand bringen. Installieren Sie aktuelle Patches für den Browser, für Office-Anwendungen und den Flash-Player. Schadsoftware nutzt oft Sicherheitslücken in solcher Software aus. Mit Updates sinkt die Wahrscheinlichkeit, dass bekannte Lücken ausgenutzt werden.

mbö/jbr

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 47 Beiträge
Alle Kommentare öffnen
Seite 1
jj2005 25.02.2016
1. Guter Rat vom BSI, und gar nicht teuer!
"Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ... Betroffene sollten lieber den Bildschirm samt der Erpressungsnachricht fotografieren und Anzeige erstatten." Noch so 'ne Neuland-Behörde ;-)
onewayjan-004 25.02.2016
2. Immer wieder
werden Anhaenge geoeffnet. Es scheint mir die Verbloedung der PC user ist perfekt! Aber auch die professionelle IT Entwickler haben "Dreck am Steck"! Es werden Systeme entworfen wobei "intern" met "extern" verknuepft ist. Eine wirkliche Trennung wird viel Probleme vorbeugen.
saiber 25.02.2016
3. Den Finger zeigen und Backups machen
Heutzutagen werden Back-ups gemacht. Mein Rechner wird regelmaessig gesichert und Daten archiviert. Sollte wirklich so eine Email kommen, ich dann so dumm bin, diese zu oeffnen und eine Schadsoftware den Rechner unbrauchbar macht, einfach den Mittelfinger zeigen und das OS neu installieren mittels Backup. Das geht mittlereweile sehr schnell. Also, Backups machen Leute.
Zeitwesen 25.02.2016
4. naaaja
Wenn man von einer Firma angeschrieben wird (Telekom, Paypal, Amazon) bei der man angemeldet ist, schreiben diese einen auch mit Vor- und Zunamen an. Bei Betrugsmails fehlen die Vor- und Zunamen, die Firmenbezeichnung hat dann auch meist nichts mit der eigentlichen Mailadresse zu tun und irgendwelche Mailanhänge würde ich gar nicht erst öffnen. Ebenso würde ich keine Direktlinks verwenden, man weiß ja schließlich selber wie man auf die entsprechende Seite des Anbieters kommt und kann hier selbst prüfen ob es irgendwelche Neuigkeiten oder Probleme gibt. Mahnungen bzw. Inkassoaufforderungen werden mit der Post und nicht als Mail verschickt.
MultilinearMap 25.02.2016
5. 2016
und Trojaner lassen sich immer noch per Email Anhang verbreiten. Traurig.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.