Locky ist zurück und gefährdet Windows XP

Sicherheitsforscher haben ein erhöhtes Aufkommen von gefälschten Rechnungs-Mails mit dem Verschlüsselungstrojaner Locky als Dateianhang beobachtet. Offenbar bedroht die neue Version der Ransomware derzeit aber „nur“ Computer mit Windows XP. Von Locky verschlüsselte Dateien sollen die Dateiendung .loptr aufweisen.

Bisher befindet sich Locky als ausführbare Datei in einem doppelt gepackten Zip-Archiv im Anhang der Mails. Der alleinige Empfang ist in der Regel noch nicht gefährlich: Ein Opfer muss erst die Archive öffnen und Locky offenbar selbst ausführen – ein Angriffszenario mit ziemlich vielen Stolpersteinen.

Normalerweise infizieren Erpressungstrojaner Computer über als Rechnung getarnte Word-Dokumente mittels Makros. Hier ist es wahrscheinlicher, dass sich ein Opfer vom Text in der Mail dazu bringen lässt, das Dokument zu öffnen, die Makros zu aktivieren, um so die Infektion einzuleiten.

Bei Systemen ab Windows 7 funkt offenbar der Schutzmechanismus Data Execution Prevention (DEP) dem Unpacker dazwischen und verhindert so das Ausführen von Locky.

Die DEP-Funktion gibt es jedoch bereits seit Windows XP Service Pack 2. Seit Windows Vista wird DEP um Adress Space Layout Randomization (ASLR) zum vorbeugen von Speicherfehlern ergänzt.

Neu ist, dass Locky sich aktiver gegen Debugging wehrt. Der Trojaner soll etwa eine virtuelle Maschine erkennen und darin nicht laufen.

Den Sicherheitsforschern zufolge wird Locky über das Spam-Botnet Necurs verbreitet. Darüber liefen jüngst Kampagnen mit der Ransomware Jaff. Doch für diese erschien ein kostenloses Entschlüsselungstool und die Verteilung wurde eingestellt.

Ausgehend vom für die Angreifer nicht optimalen Infektionsweg und der Blockierung von Locky auf vielen Windows-Systemen, haben die Entwickler die neue Locky-Version offenbar mit heißer Nadel gestrickt. Dennoch raten wir immer wieder zur Wachsamkeit und insbesondere zur Sensibilierung aller Mitarbeiter.