New Locky Campaign: Double click for ransomware

Neue Locky-Kampagne: Bei Doppelklick Ransomware

Letzte Woche entdeckte das Avira Virus Lab eine neue Welle von Locky ransomware, die es auf unsere Nutzer abgesehen hat. Es handelt sich dabei um einen typischen Datei-Verschlüsseler, der dafür sorgt, dass all eure kostbaren Dateien (z. B. Fotos, Dokumente) unlesbar werden. Um sie wieder zu entschlüsseln, zwingt er euch ein Lösegeld zu zahlen.

Die schlechte Nachricht

Diese neue Welle vebreitet sich über Office Word-Dokumente, nicht nur von Microsoft, sondern auch von anderen Programmen wie Libre Office, die wie im folgenden Bild dargestellt aussehen:

New Locky Campaign: Double click for ransomware - in-post 1

Der Malware-Autor bringt den Nutzer durch einen Trick dazu, den Briefumschlag doppelt anzuklicken. Wenn dies passiert, wird eine Kaskade von Aktionen ausgelöst, die letztendlich dazu führt, dass alle wertvollen Dateien verschlüsselt werden und der Nutzer die folgende Nachricht erhält.

New Locky Campaign: Double click for ransomware - in-post 2

Diese Verschlüsselungsmethode ändert die Dateierweiterung zu „.asasin‟ und mehrere Dateien, die Details zur Bezahlung der Ransomware beinhalten werden auf die Festplatte geschrieben.

Die gute Nachricht

Aviras KI-System erkennt diese Art von Bedrohungen ab dem ersten Moment, in dem sie auf den Computern unserer Kunden zu sehen sind und es erscheint sofort eine Nachricht unseres Antivirenprogramms mit der Meldung, dass eine HEUR/APC-Bedrohung gefunden wurde. Außerdem haben wir unseren Kunden über ein Update eine Signatur mit Namen „TR/Locky‟ zur Verfügung gestellt.


Zugehöriger Artikel

https://blog.avira.com/de/5-tipps-ransomware/


Einige technische Details

Hinter diesem Bild im Word-Dokument verbirgt sich eine LNK-Datei, die bei Windows auch als Shortcut bekannt ist. Sobald die Datei auf der Festplatte abgelegt wird, können wir erkennen, was ihre Absichten sind.

New Locky Campaign: Double click for ransomware - in-post 3

Wenn wir den Befehl in eine Texteditor-Datei einfügen, können wir genau sehen, dass dieser Shortcut ein PowerShell-Skript ausführen soll:

New Locky Campaign: Double click for ransomware - in-post 4

Das Skript ist in Klartext und kann ganz einfach gelesen werden. Ziel ist es, dass ein weiteres PowerShell-Skript über einen Link, der im Skript eingebettet ist heruntergeladen und über die Funktion „Invoke-Expression‟ ausgeführt wird.

New Locky Campaign: Double click for ransomware - in-post 5

Dieses zweite Skript verbindet sich mit dem Internet, lädt eine ausführbare Windows-Datei in den Ordner „%temp%‟ herunter und speichert sie unter dem Namen „losos1.exe‟. Daraus wird ein Prozess instanziiert. Diese ausführbare Datei wird mit Microsoft VC 2013 kompiliert und enthält mehrere Schichten von Codeobfuskation, um Analytiker zu verwirren und Nutzer dazu zu bringen, sie für eine saubere Datei zu halten.

New Locky Campaign: Double click for ransomware - in-post 6

Im folgenden Bild sind mehrere nutzlose Zeichenketten zu sehen, zusammen mit „system32\calc.exe‟.

New Locky Campaign: Double click for ransomware - in-post 7

In der ausführbaren Datei befinden sich einige irreführende Informationen, die den Nutzer dazu bringen, zu denken, dass es sich um eine legitime Microsoft-Anwendung handelt:

New Locky Campaign: Double click for ransomware - in-post 8

Nachdem der Prozess erstellt wurde, kopiert er sich als „svchost.exe‟, erstellt eine neue Instanz von sich, und löscht die erste ausführbare Datei:

New Locky Campaign: Double click for ransomware - in-post 9

New Locky Campaign: Double click for ransomware - in-post 10

Prüft das folgende Mutex, um zu überprüfen, ob es bereits auf dem System läuft:

  • „Global\Ca4a2aDa1aGaFa3a9aGa3a9aBa9a:aCa‟

New Locky Campaign: Double click for ransomware - in-post 11

Sammelt Informationen zum Betriebssystem und sendet diese verschlüsselt an den C&C-Server, um einen Verschlüsselungsschlüssel zu bekommen:

  • Param: id=[..]&act=getkey&affid=[..]&lang=en&corp=0&serv=0&os=Windows+7&sp=1&x64=1&v=2
  • Nutzer-Agent: Mozilla/4.0 (kompatibel; MSIE 7.0; Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; .NET4.0E)

 

Vergleichsmuster:
e49c6973ddcc601cfb85b451e122903b1a9c036c8baafc35cb327f76b998c537
423dc1aaaed311349f9932a643a032d18f0589b97275b501a7a7f6955f5aac46

 

Locky arbeitet hart daran, eine Erkennung zu vermeiden, aber es reicht nicht aus. Avira Antivirus erkennt Locky dank mehrerer Schutzschichten in seiner Cloud-Analyse.

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch