Moin,

mit dem zugehörigen Botnetz war eine Zeit lang auch die Infrastruktur der Ransomware Locky verschwunden. Allerdings haben die Kriminellen Lockym neue Funktionen zur Verschleierung hinzugefügt. Die neuen Locky-Versionen setzen demnach auf neue Technologien, um eine Entdeckung durch Antivirenprogramme zu erschweren. Dabei setzt Locky nicht mehr nur auf infizierte Word-Dokumente mit Macros, sondern führt den Schadcode über den Windows-Scripting-Host aus. Dieser kann von Nutzern deaktiviert werden.

Der Anhang der Datei ist .zip, per Social Engineering können unerfahrene Nutzer dennoch dazu bewegt werden, den Anhang zu öffnen. Die Mails sind entweder als Bewerbungen oder als Rechnung, zum Beispiel mit dem Betreff "Letzte Mahnung", versehen. Locky versucht neuerdings auch zu erkennen, ob der Code in einer virtuellen Maschine ausgeführt wird, wie sie von vielen Antivirenprogrammen eingesetzt wird. Dazu wird berechnet, wie viele CPU-Zyklen gebraucht werden, um bestimmte Windows APIs auszuführen. Durch die Virtualisierung werden mehr Zyklen benötigt, dies kann von den Malware-Autoren ausgenutzt werden. Darüber hinaus ist der Code obfuskiert und muss mit dem Argument 123 geladen werden. Ohne diese Information kann der Code von Virenscannern nicht vollständig analysiert werden. Proofpoint weist daraufhin, dass das Aussendevolumen bislang nur rund 10 Prozent der ursprünglichen Höchstwerte erreicht hat.

Es geht mit dem Erpressungstrojaner also in eine neue Runde.

Gruss

[1] https://de.securelist.com/news/71654/botnet-necurs-kehrt-zuruck-mit-aktualisiertem-locky/