Erpressungs-Trojaner Locky markiert Geisel-Dateien mit .aesir-Endung

Der Erpressungs-Trojaner Locky kennzeichnet verschlüsselte Dateien neuerdings mit der Namenserweiterung .aesir, warnt das Notfall-Team des BSI CERT-Bund.

Hat der Schädling einen Windows-Computer infiziert, verschlüsselt er unter anderem private Daten und stellt den Schlüssel erst nach einer Lösegeldzahlung in Aussicht. Aktuell gibt es kein kostenloses Entschlüsselungstool.

Gefährliche Fake-Mails

Den Ransomware-Experten von Bleepingcomputer.com zufolge verschicken die Drahtzieher hinter dem Erpressungs-Trojaner aktuell im Namen von Telekommunikationsanbietern gefälschte E-Mails, mit gefährlichem Dateianhang. In den Mails sollen die Kriminellen behaupten, dass der eigene Computer zum Spam-Versand missbraucht wird. Im Anhang befinde sich ein Zip-Archiv, in dem eine ausführbare JS-Datei stecke, berichten die Sicherheitsforscher.

Wer auf die Fake-Mail hereinfällt und die vermeintliche Log-Datei aus dem E-Mail-Anhang öffnet, holt sich eine verschlüsselte DLL-Datei auf den Computer. Diese schießt sich in den legitimen Prozess Rundll32.exe und startet so die Locky-Infektion. Auf diese Vorgehensweise setzt Locky schon länger.

Nordische Mythologie

Verschlüsselte Dateien sehen zum Beispiel so aus: 016CCB88-61B1-ACB8-8FFA-86088F811BFA.aesir. Aufgrund der kryptischen Bezeichnung kann man als Opfer nicht mehr zuordnen, welche Dateien der Erpressungs-Trojaner erwischt hat. Das ist mittlerweile ein gängiges Konzept von Ransomware.

Bis vor kurzem kennzeichnete Locky gefangengenommene Dateien noch mit der Namenserweiterung .odin. Mit der Bezeichnung .aesir bleiben die Malware-Entwickler der nordischen Mythologie treu und verwenden abermals den Namen eines Gottes.

Parallel soll sich Locky auch über den Facebook-Messenger verbreiten. Dabei verschicken Kriminelle kommentarlos SVG-Grafiken von gekaperten Konten. Diese Grafiken verweisen auf verseuchte Webseiten. (des)