Krypto-Trojaner Locky verwendet .aesir als neue Dateierweiterung für verschlüsselte Files

von | Nov 22, 2016 | IT Sicherheit |

Der Erpressungstrojaner Locky hat eine neue Dateierweiterung für die durch ihn verschlüsselten Files gewählt: Statt .odin oder .thor werden die gekapperten Dateien nun unter .aesir gespeichert. Ihrem Faible für nordische Gottheiten bleiben die kriminellen Hacker damit treu, auch Aesir ist ein prominenter Vertreter der nordischen Mythologie. Derzeit gibt es noch kein kostenloses Entschlüsselungstool für von Locky verschlüsselte Dateien.

Laut einer Meldung von Bleepingcomputer, gibt die neue Welle der mit der Kryptotrojaner Locky verseuchten E-Mails vor, eine Beschwerde des ISPs zu sein, die darüber informiert, dass der eigene Rechner Spam versendet. Im Anhang der Mails findet sich ein ZIP-File, das im Allgemeinen nach dem Muster „logs_[Zielname].zip” betitelt ist. Öffnet man die in diesem Archiv gespeicherte JS-Datei, ladet diese ein verschlüssletes DLL-File herunter und installiert es im Temp-Ordner des Rechners. Wie schon bei früheren Locky-Varianten benutzt nun auch diese das Windows-Programm Rundll32.exe, um Locky zu installieren.

Ist der Schädling erst installiert, geht er daran bestimmte Dateitypen zu verschlüsseln. Dabei wird der Dateiname selbst nach einem bestimmten Schema verändert und die nordische Endung .aesir angehängt (z.B. 016CaB88-51B1-ACB8-8FIA-86088F812BFB.aesir). Sobald der Verschlüsselungsvorgang beendet ist, wird eine Botschaft mit Instruktionen der Erpresser angezeigt.

Vorsicht ist auch bei bestimmten Nachrichten über den Facebook Messenger angesagt, auch soll sich Locky über kommentarlos gesendete SVG-Grafiken von gekaperten Konten verbreitet haben.

Derzeit ist es nicht möglich, die von Locky verschlüsselten Files mittels kostenloser Entschlüsselungstools wiederherzustellen. Regelmäßige Backups erweisen sich hier als Retter in der Not. Mit etwas Glück können Dateien auch über Schattenkopien wiederhergestellt werden. Darauf sollten Sie sich allerdings nicht verlassen, im Allgemeinen werden diese von den Erpressungstrojanern gelöscht. Weiter unten haben wir einen Link von Bleepingcomputer mit einer Anleitung zum Wiederherstellen von Schattendateien für Sie bereitgestellt.

a

Textquellen & Links

Hier gibt’s mehr Infos zur neuen Locky-Variante:
bleepingcomputer.com

Eine Anleitung zum Wiederherstellen von Schattendateien finden Sie hier:
bleepingcomputer.com

Hier finden Sie mehr Infos zu über den Facebook Messenger verschickter Malware:
heise.de

a

Zur Seite ...

IT Sicherheit
IT-Wartung