News

Locker-Autor entlässt Geiseln

Die mit der Erpresser-Software Locker infizierten Computer wurden aus der Geiselhaft entlassen, womit der Entwickler des Schädlings sein Versprechen einlöste und in der vergangenen Woche den Dechiffrierungsschlüssel ins Netz stellte. Zudem entschuldigte er sich öffentlich für die Verbreitung des Schadprogramms.

Laut Aussage von Lawrence Abrams von Bleeping Computer mussten die Opfer nichts für die Herausgabe ihrer Dateien zahlen. Wie es in einem Posting im Forum von Bleeping Computer heißt, funktioniert der Dechiffrierungsbefehl des Autors nur auf Computern, die noch infiziert sind. Diejenigen, die die Erpressersoftware bereits entfernt haben, können ihre Dateien mit Hilfe eines speziellen Tools dechiffrieren, das Ende letzter Woche öffentlich zur Verfügung gestellt wurde.

Eine Datenbank, die die Bitcoin-Adresse enthält, an die die Lösegelder gezahlt werden sollten, sowie öffentliche und private Schlüssel, seien in Form einer CSV-Datei auf mega.co.nz geladen worden, wie es in einem Blogeintrag des mutmaßlichen Locker-Autors bei Pastebin heißt. Dort sind außerdem Details der Struktur der verschlüsselten Dateien veröffentlicht.

„Das ist ein Dump der gesamten Datenbank und die meisten Schlüssel wurden noch nicht einmal benutzt“, heißt es in dem Posting. „Die Verbreitung neuer Schlüssel wurde vollständig eingestellt.“ Er versprach zudem, dass die automatische Dechiffrierung auf infizierten Maschinen ab Mitternacht am 2. Juni beginnt.

Der CEO von KnowBe4, Stu Sjouwerman, nimmt an, dass der Entwickler von Locker entweder bereits genug an dem Schädling verdient hatte, oder dass er sich vor einer kurz bevorstehenden Festnahme fürchtete oder aber, dass er unter zu großem Konkurrenzdruck stand. Nach Angaben von KnowBe4 befand sich dieser Blocker monatelang im Schlafmodus, und zwar bis zum 25. Mai, wurde dann reaktiviert und begann,Dateien zu verschlüsseln, so ähnlich wie CryptoLocker. Locker wird mit Hilfe schädlicher Werbekampagnen verbreitet, die die Nutzer auf Exploit-Packs umleiten, möglicherweise benutzt er obendrein auch einen modifizierten Minecraft-Installer.

Dieser Erpresser ist auf Windows-Rechner ausgerichtet und operiert mit einer beeindruckend langen Liste von Zieldateien, inklusive folgender Erweiterungen: .doc, .docx, .xlsx, .ppt, .wmdb, .ai, .jpg, .psd, .nef, .odf, .raw, .pem, .rtf, .raf, .dbf, .header, .wmdb, .odb, .dbf.
KnowBe4 zufolge ändert der Schädling die Erweiterung nach der Verschlüsselung und bei dem Versuch, eine solche Datei zu öffnen, wird dem Nutzer eine Fehlermeldung angezeigt.

Im Gegensatz zu anderen Verschlüsselern, die 500 Dollar und mehr für die Dechiffrierung fordern, zieht Locker lediglich 0,1 Bitcoin ein – das sind in etwa 30 Dollar. Das Geld zurückzugeben plant der Autor offensichtlich nicht. „Wenn man solchen Code schreibt, weiß man ganz genau, was man tut“, kommentiert Sjouwerman. „Schon allein die Tatsache, dass es sich hier um einen „Schläfer“ handelt, zeugt von monatelanger, sorgfältiger Vorbereitung. Wenn der Virenautor nun aber tatsächlich unter schweren Gewissensbissen leiden würde, könnte er den Opfern das Geld zurückgeben, was wir bisher aber nicht beobachtet haben. Unklar ist auch, ob die aktuellen Infektionsvektoren blockiert sind oder nicht.“

Nach Meinung des Experten ist der Locker-Entwickler aller Wahrscheinlichkeit nach ein Neuling auf dem Gebiet der Malware-Programmierung. „Es ist anzunehmen, dass er ein talentierter Programmierer ist, doch noch nicht über ausreichend Erfahrung in der Durchführung von Cyberverbrechen verfügt, solche Fehler sind bei gut ausgebildeten und verschworenen osteuropäischen Cyberkriminellen undenkbar“, argumentiert Sjouwerman. „Möglicherweise hat er sich in den Dienst einer dieser Gruppierungen gestellt und daraufhin beschlossen, auf eigene –Rechnung zu arbeiten – und hat dabei Schiffbruch erlitten.“

Quelle: Threatpost

Locker-Autor entlässt Geiseln

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach