it-sicherheit.li

News rund um IT-Sicherheit

Schlagwort: Locky

Locky wie früher aber ganz neu.

{CAPTION}

Locky ist wohl noch lange nicht tot. Gerade eben wurde es etwas ruhiger,
man konzentrierte sich mehr auf böse IoT-Geräte und schwups. Locky hat
eine neue Endung. Neu verschlüsselt Locky nun mit .zzzzz das ist leider
nicht zum schnarchen sondern hält uns sehr auf Trap. Wie Bleepincomputer
berichtet wird Locky jedoch immer noch über gefälschte Rechnungen als
Mailanhang verbreitet. Der Betreff besteht meistens aus folgendem Text
Order #[random_numbers] und mit einem Anhang mit diesem Titel
order_[target_name].zip Im ZIP File ist eine Java Script Datei welche
Locky ausführt.

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Locky in neuem Gewand


Eine neue Variante des Locky Trojaners ist aufgetaucht. Die Daten werden nun mit der Endung .ODIN verschlüsselt. Dies hilft Locky natürlich zur Verschleierung da es auf den ersten Blick so aussieht als wurde man von der Ransomware ODIN infiziert. Auch Locky mit seiner neuen .ODIN Endung wird vorwiegend über SPAM E-Mails verteilt. Wenn der Empfänger einen Doppelklick auf den Anhang macht, ladet Locky einen verschlüsselten DLL installer herunter und führt diesen mithilfe der Rundll32.exe aus. Einmal ausgeführt verschlüsselt Locky sämtliche Files des betroffenen Rechners sowie weitere Netzlaufwerke und verbundene USB Speichergeräte oder sogar Cloud Dienste. Die Dateien auf den Geräten werden umbenennt und mit der Dateiendung .ODIN versehen.

Untenstehend eine Liste aller betroffenen Dateiformate:

.yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .rat, .raf, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .oth, .orf, .odm, .odf, .nyf, .nxl, .nwb, .nrw, .nop, .nef, .ndd, .myd, .mrw, .moneywell, .mny, .mmw, .mfw, .mef, .mdc, .lua, .kpdx, .kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .gry, .grey, .gray, .fhd, .ffd, .exf, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .craw, .cib, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .bay, .bank, .backupdb, .backup, .back, .awg, .apj, .ait, .agdl, .ads, .adb, .acr, .ach, .accdt, .accdr, .accde, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .log, .hpp, .hdd, .groups, .flvv, .edb, .dit, .dat, .cmt, .bin, .aiff, .xlk, .wad, .tlg, .say, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .pat, .oil, .odc, .nsh, .nsg, .nsf, .nsd, .mos, .indd, .iif, .fpx, .fff, .fdb, .dtd, .design, .ddd, .dcr, .dac, .cdx, .cdf, .blend, .bkp, .adp, .act, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .dot, .cpi, .cls, .cdr, .arw, .aac, .thm, .srt, .save, .safe, .pwm, .pages, .obj, .mlb, .mbx, .lit, .laccdb, .kwm, .idx, .html, .flf, .dxf, .dwg, .dds, .csv, .css, .config, .cfg, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .wab, .rtf, .prf, .ppt, .oab, .msg, .mapimail, .jnt, .doc, .dbx, .contact, .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .wallet, .upk, .sav, .ltx, .litesql, .litemod, .lbf, .iwi, .forge, .das, .d3dbsp, .bsa, .bik, .asset, .apk, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .pst, .onetoc2, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key

Das Vorgehen ist weiterhin das selbe und auch für diese Variante von Locky gibt es kein Entschlüsselungstool

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Locky Sprössling „Zepto“

photo-1454165205744-3b78555e5572

Sicherheitsforscher haben einen, beängstigenden Anstieg von Spam E-Mails mit verseuchten Anhängen, festgestellt. Die meisten dieser Anhänge enthalten den Locky Spross Zepto.

Das Team von Cisco Talos hat innerhalb von vier Tagen über 137`731 E-Mails mit Zepto Anhängen festgestellt.

Die E-Mails sind sehr gut gemacht. Es wird der Anschein erweckt dass man den Absender persönlich kennt. Man wird mit dem Vornamen angesprochen und gebeten den Anhang zu öffnen.

Wurde der Anhang geöffnet, läuft das JavaScript basierende Tool im Hintergrund und beginnt die Dateien zu verschlüsseln. Die Dateien bekommen die Endung .zepto.

Einige untersuchten Proben kommunizierten mit einem einzelnen C&C Server andere mit bis zu neun verschiedenen Domains.

Sobald die Verschlüsselung beendet ist wird eine Meldung angezeigt auf dem über die Verschlüsselung und die Zahlungsart informiert wird.

 

Bisher ist noch keine Entschlüsselung für Zepto bekannt.

Vor Zepto kann man sich nur schützen wenn man alle Systeme und Programme up-to-date hält und Mails mit gebührendem Respekt bearbeitet.

Gewisse Tools und Hilfsmittel können eine Infektion vorbeugen, wie z.B. AMP (Advanced Malware Protection), CWS oder WSA (Web Scanner zum auffinden von gefährlichen Webseiten) , IPS und NGFW sowie Botnet Detection und APT-Blocker.

Facebooktwittergoogle_plusredditpinterestlinkedinmail

© 2024 it-sicherheit.li

Theme von Anders NorénHoch ↑