Erpressungssoftware Trojaner "Locky" hat eine neue Tarnung

Seit Tagen plagt der Trojaner "Locky" Computernutzer. Jetzt haben Betrüger der Schadsoftware eine neue Tarnung gegeben: Sie wird in einer Phishing-E-Mail unter dem Namen eines Telefonieanbieters verschickt.
Sipgate-Warnung: "Keine Zip-Files öffnen!"

Sipgate-Warnung: "Keine Zip-Files öffnen!"

Foto: sipgate

"Locky" geht den deutschen Internetnutzern weiter auf die Nerven. Der Verschlüsselungstrojaner ist seit einigen Tagen im Umlauf, jetzt hat er offenbar einen neuen Deckmantel. Sipgate, ein Düsseldorfer Anbieter für Internet-Telefonie, rät zur Vorsicht, wenn man eine E-Mail mit seinem Namen und Logo erhält. "Es werden täuschend echte E-Mails mit unserem Namen und Logo verschickt", steht derzeit prominent auf der Unternehmens-Website , auch über die Social-Media-Accounts wird gewarnt.

Im Sipgate-Blog  heißt es, an die Betrüger-E-Mails sei eine Zip-Datei angehängt, in der sich eine Java-Script-Datei befindet, die einen noch unbekannten Trojaner nachlädt. Sipgate würde aber keine Zip-Dateien verschicken. Die Phishing-E-Mails gehen laut Sipgate sowohl an Kunden als auch Nichtkunden des Unternehmens.

Laut einem Bericht von "Heise Online" wird mit den vermeintlichen Sipgate-E-Mails der Kryptotrojaner "Locky" verbreitet , der seit einigen Tagen vor allem in Deutschland für Unmut sorgt. Ein "Heise"-Screenshot zeigt eine der vermeintlichen Sipgate-E-Mails mit dem Hinweis "Sie haben ein neues Fax in Ihrer Ereignisliste". Wer die E-Mail bei sich entdeckt, solle sie sofort löschen, rät das Tech-Magazin.

Locky ist bekannt - und gefährlich

Locky kann man sich als Erpressungssoftware vorstellen: Windows-Rechner werden mit einem Trojaner infiziert, der wichtige Dateien zunächst verschlüsselt und dann umbenennt. Die Dokumente haben nach dem Prozess die Endung .locky, daher hat der Trojaner seinen Namen. Die Verschlüsselung ist offenbar kaum zu knacken, nach Angaben der Erpesser werden die Dateien mit einem RSA-Kryptoschlüssel und einer AES-Verschlüsselung unbrauchbar gemacht.

Sobald die Dateien verschlüsselt sind, erscheint ein Erpresserbrief mit einer Lösegeldforderung. In dem Brief steht, dass die Dateien nur mit einer speziellen Software gerettet werden können. Und für diese Software verlangen die Erpresser einen Betrag von 0,5 Bitcoin, was laut dem aktuellen Kurs der Digitalwährung rund 200 Euro entspricht.

Grundsätzlich wird bei Erpressersoftware davon abgeraten, das Geld zu bezahlen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zum Beispiel  weist darauf hin, dass Kriminelle in vielen Fällen auch nach einer Zahlung einfach darauf verzichten, die Daten wirklich freizuschalten. Betroffene sollten lieber den Bildschirm samt der Erpressungsnachricht fotografieren und Anzeige erstatten.

In Deutschland sind Sicherheitsforschern zufolge schon mehrere Tausend Rechner mit Locky infiziert. Vergangenen Freitag schätzte der britische IT-Experte Kevin Beaumont auf SPIEGEL-ONLINE-Nachfrage, dass "Locky" allein in den vorherigen 24 Stunden etwa 17.000 Rechner in Deutschland infiziert habe. "Locky" kann man sich über Phishing-E-Mails, Berichten zufolge aber auch über bestimmte Websites einfangen.

Zunächst war ein Wurstwarenkonzern das Lockmittel

Sipgate ist nicht das erste Unternehmen, dessen Namen "Locky"-Betrüger als Deckmantel für Phishing-E-Mails verwenden. Bei einer vorherigen "Locky"-Welle, die ebenfalls speziell auf deutsche Nutzer zielte, wurden vermeintliche Rechnungen eines Wurstwarenkonzerns verschickt.

Dieser hatte wie Sipgate nichts mit dem Trojaner zu tun, sah sich in Folge der E-Mails aber mit einer großen Zahl von Nutzeranfragen konfrontiert. "Heise Online" berichtete Montag , durch die "Mailflut" sei die digitale Infrastruktur des Unternehmens am Freitag für sechs bis sieben Stunden lahmgelegt worden.


Drei Tipps zum Schutz vor Schadsoftware

  • Seien Sie vorsichtig mit E-Mail-Anhängen

Deaktivieren Sie die Makro-Funktion in Dokumenten, die Sie per E-Mail erhalten. Vor allem bei Nachrichten von fremden Personen sollten Sie vorsichtig sein. "Locky" wird nach Angaben von Sicherheitsexperten in aller Regel über E-Mail-Anhänge eingeschleust, die sich etwa als harmloses Word-Dokument tarnen, aber im Hintergrund die gefährliche Software ausführen. Sie sollten allgemein keinen E-Mail-Anhang öffnen, von dem Sie nicht genau wissen, von wem er kommt.

  • Daten per Back-up sichern

"Locky" verschlüsselt die Dateien nach Angaben der Erpresser so gut, dass sie unbrauchbar werden. Sichern Sie Ihre Daten also möglichst per Back-up, damit sie Ihre Dokumente im Notfall wiederherstellen können. Am besten eignet sich eine dafür eine Festplatte, die nicht ständig mit dem PC verbunden ist, beispielsweise eine externe USB-Platte.

  • Verwenden Sie aktuelle Software

Um Sicherheitslücken zu schließen, sollten Sie möglichst alle Programme auf Ihrem Rechner auf den neuesten Stand bringen. Installieren Sie aktuelle Patches für den Browser, für Office-Anwendungen und den Flash-Player. Schadsoftware nutzt oft Sicherheitslücken in solcher Software aus. Mit Updates sinkt die Wahrscheinlichkeit, dass bekannte Lücken ausgenutzt werden.

mbö/jbr
Die Wiedergabe wurde unterbrochen.