Locky ist wieder da: Erpressungstrojaner grassiert jetzt als Diablo6
Die Ransomware Locky ist zurück und verschlüsselt wieder verstärkt die persönlichen Dateien von Opfern auf der ganzen Welt. Erhöhte Vorsicht im Umgang mit E-Mails scheint momentan angebracht.
(Bild: Gustave Doré, Wikimedia Commons)
- Fabian A. Scherschel
Berichten mehrerer Sicherheitsfirmen zufolge ist der Erpressungstrojaner Locky von den Toten auferstanden. Er verbreitet sich erneut über massenhafte Spam-Mails und nutzt jetzt die Endungen .diablo6 und .lukitus für von ihm verschlüsselte Dateien. Auch die neuen Varianten greifen Anwender nach dem bekannten Locky-Muster an: An einer Phishing-Mail hängt eine Zip-Datei an. Öffnet das Opfer diese, landet eine JavaScript-Datei auf dem Rechner. Wird diese auf einem Windows-System ausgeführt, lädt sie Schadcode aus dem Netz nach, der die Dateien des Opfers verschlüsselt.
Erhöhte Alarmbereitschaft ratsam
Die Sicherheitsfirma Malwarebytes sieht seit Anfang August eine verstärkte Verbreitung der Ransomware. Laut einem früheren Bericht der Firma war Locky nie ganz verschwunden, die Verbreitung des Trojaners war aber zugunsten anderer Erpressungstrojaner stark zurückgegangen. Bisherige Berichte sprechen von englischen Spam-Mails, die hauptsächlich vorgeben, Rechnungen zu enthalten. Deutsche Phishing-Mails sind uns bisher nicht untergekommen. Sollten wir entsprechende Mails feststellen, werden wir diese Meldung aktualisieren.
Da sich die verschiedenen Spam-Kampagnen, über die der Schadcode verteilt wird, allerdings rapide wandeln, sollte das bisherige Fehlen deutscher Köder-Mails nicht als Entwarnung verstanden werden. So durchlief zum Beispiel die Verschlüsselungs-Endung des Kryptotrojaners seit seinem ersten Ausbruch Anfang 2016 bisher elf verschiedene Variationen. Erhöhte Alarmbereitschaft beim Umgang mit dem E-Mail-Postfach scheint momentan ratsam. (fab)
