Der anfänglich große Erfolg der Ransomware Locky führte nun natürlich dazu, dass die Kriminellen hinter der Malware versuchen, diesen so lange und so weit es geht auszuschlachten. In kurzen Zeitabständen kommen immer neue Varianten in Umlauf. Diese verwenden neue Tarnungen und Verbreitungswege, um nicht so schnell von argwöhnisch gewordenen Nutzern erkannt zu werden. Und natürlich sind rein signaturbasierte Virenscanner relativ machtlos, da ihre Anbieter gar nicht schnell genug mit Updates hinterherkommen.
Die erste Welle von Locky kam in den meisten Fällen über Spams mit angeblichen Rechnungen und Mahnungen auf die Systeme der Nutzer. Grundsätzlich erfolgen Infektionen noch immer über Office-Dokumente, in die die Installations-Routinen in Form von Makros eingebettet sind. In einer neuen Variante tarnt sich Locky beispielsweise als Mitteilung des VoIP-Anbieters Sipgate, laut der ein Fax für den Nutzer eingegangen ist. Dabei werden die echten E-Mails, die das Unternehmen zur Benachrichtigung von Kunden verschickt, schon recht gut nachgeahmt.
Die Angreifer haben bei ihrer Malware-Kampagne von den Erfolgen anderer Ransomware-Betreiber gelernt, die erst vor wenigen Tagen schnell an höhere Summen gekommen sind, nachdem es ihnen gelungen war, mehrere Krankenhäuser mit Ransomware lahmzulegen. Einige der aktuellen Locky-Fassungen sind daher eher darauf ausgelegt, dass Nutzer in kleineren Unternehmen von ihnen überrumpelt werden. Hier gibt es immerhin recht gute Chancen, dass die Inhaber schnell einmal die geforderte Summe zahlen, um die Arbeitsfähigkeit ihrer Firma schnellstmöglich wiederherzustellen.
Was ist zu tun?
Unsere technikaffine Leserschaft wird wohl kaum selbst betroffen sein, da sie kaum E-Mail-Anhänge aus unsicherer Quelle einfach so öffnet und oft auch über halbwegs aktuellen Backups verfügt. Doch es kann schnell vorkommen, dass man von unerfahreneren Bekannten oder Verwandten hinzugezogen wird, wenn Locky deren System befallen hat.
Polizei und Behörden wie das BSI empfehlen, Strafanzeige zu erstatten und keinesfalls auf die Forderungen der Erpresser einzugehen. Das kann im Falle von Locky durchaus funktionieren, da die Täter zumindest in den ersten Versionen keine besonders gute Verschlüsselung verwendet haben und diese vielleicht in absehbarer Zeit aufgebrochen werden kann. Wenn die verlorenen Daten allerdings schnell wieder benötigt werden, kann es durchaus auch ein gangbarer Weg sein, in den sauren Apfel zu beißen und die geforderte Summe zu zahlen - wie es das FBI in solchen Fällen empfielt. In der Ransomware-Szene wird immerhin Wert darauf gelegt, dass bei zahlenden Opfern die Daten wieder freigegeben werden. Immerhin will man hier ja auch zukünftig Einnahmen mit solchen Schädlingen generieren - was nicht funktionieren würde, wenn gemeinhin bekannt ist, dass die Daten auch bei zahlungswilligen Nutzern verloren sind.
Immer neue Locky-Wellen - Virenscanner nutzlos? • 25.02.2016 16:08
Krypto-Trojaner Locky (Spoiler) 
