Erpressungs-Trojaner: Locky setzt auf .zzzzz-Endung, Cerber geht in Version 5.0.1 um
Kriminelle sollen Berichten nach aktuell neue Versionen von Cerber und Locky verbreiten. Vorsicht: Viele Viren-Wächter springen offensichtlich noch nicht auf Cerber an.
(Bild: Screenshot)
Die aktuelle Version von Locky soll verschlüsselte Dateien nun mit der Namenserweiterung .zzzzz kennzeichnen. Das berichten die Ransomware-Experten von Bleepingcomputer.com und berufen sich dabei auf eine Aussage des MalwareHunterTeams.
Dieser Verband von Sicherheitsforschern betreibt die Webseite ID-Ransomware, über die man Erpressungs-Trojaner identifizieren und nach einem kostenlosen Entschlüsselungstool suchen kann. Derzeit soll es kein derartiges Werkzeug für Opfer von Locky geben. Erst vor kurzem schwenkten die Malware-Entwickler zur .aesir-Endung.
Die Sicherheitsforscher gehen davon aus, dass aktuell beide Locky-Versionen in Verbreitung sind. Dafür sollen die Kriminellen auf gefälschte Rechnungs-E-Mails mit Dateianhang setzen.
Fehlende Virensignatur
Marcelo Rivero, Sicherheitsforscher bei Malwarebytes, hat Cerber in der Version 5.0.1 gesichtet. Wie bei aktuellen Trojaner-Versionen üblich, springt derzeit offensichtlich nur ein Bruchteil der Viren-Wächter auf den Schädling an. Man sollte darauf achten, dass sich Anti-Viren-Software regelmäßig aktualisiert.
Aktuell soll das Exploit Kit RIG-V Cerber via Drive-by-Download und Malvertising verbreiten, warnt der Sicherheitsforscher Bryan Campbell. Auch gegen diesen Erpressungs-Trojaner ist derzeit kein Kraut gewachsen. Die Entwickler liefern sich schon länger ein Katz-und-Maus-Spiel mit Sicherheitsforschern.
Wie die neue Cerber-Version gefangengenommene Dateien kennzeichnet, ist derzeit nicht bekannt. In älteren Ausgaben soll der Schädling sowohl beim Dateinamen als auch bei der Endung auf Zufallszeichen gesetzt haben. (des)
