locky

Locky geht offline (by design)

Locky ist ein Verschlüsselungstrojaner, der Rechner infiziert, die darauf gespeicherten Dateien und personenbezogenen Daten verschlüsselt und anschließend Lösegeld von den Opfern erpresst. Wir haben in mehreren Blog-Artikeln darüber berichtet, zum Beispiel in diesem hier.

Die neuste Variante von Locky hat einen neuen Offline-Modus, der dann zum Einsatz kommt, wenn alle Verbindungsversuche zum Command-and-Control-Server (CnC) scheitern.

Die neue Variante, die am 12. Juli entdeckt wurde, kann man gut mit einem Teenager vergleichen. Seine Eltern kappen die WiFi-Verbindung. Auch wenn sein Smartphone scheinbar offline sein sollte findet er doch eine Möglichkeit weiterzumachen – und das Spiel geht munter weiter.

„Bisher konnte ein Systemadministrator alle Verbindungen zum Command-and-Control-Server (CnC) blockieren und Locky so davon abhalten, Dateien im System zu verschlüsseln. Das ist nun leider vorbei,“ sagt Moritz Kroll, Spezialist für Malware bei Avira. „Locky hat die Chancen der Opfer , ein Verschlüsselungsdesaster noch zu verhindern, drastisch verringert.“

Sobald die neue Locky-Version loslegt, läuft die Uhr – und das ziemlich schnell.
Locky durchläuft einen vorbestimmten Kommunikationsprozess. Zuerst versucht sich die Schadsoftware mit allen vorkonfigurierten CnC-Servern zu verbinden und geht anschließend durch die CnC-Server des Domain-Generation-Algorithmus (DGA) (12 pro Tag). Wenn das fehlschlägt, versucht es die neue Locky-Version noch einmal bei allen CnC-Servern und bei einem der CnC-Server aus der Konfigurationsdatei. Sollte wieder keine Verbindung aufgebaut werden können, geht Locky in den Offline-Verschlüsselungsmodus.

Von der initialen Infektion durch #Locky bis zum Start der Offline-Verschlüsselung vergehen nur 1-2 Minuten

Tweet

„Während Locky die CnC-Serververbindungen durchging, konnte ich 3 kurze Verzögerungen von je 10-20 Sekunden feststellen. Das ist für die Administratoren, die versuchen die Anfragen zu sehen, nicht so gut,“ meint Moritz Kroll. „Obwohl die neue Locky-Version weiterhin versucht Verbindungen aufzubauen, und das auch verfolgt werden kann, werden die Dateien nun bei einem Misserfolg  offline verschlüsselt. Wenn ein Systemadministrator also derartige Verbindungen bemerkt, bleibt ihm nur noch sehr wenig Zeit, den Computer herunterzufahren und so den Schaden an den Daten zu verhindern.“

Die Keys für den Offline-Modus sind anders

Die neuste Locky-Version nutzt unterschiedliche Systeme zur Generierung von Identifikationsnummern (ID) für die Online- und Offline-Opfer. Im Offline-Modus hat die Ransomware keine Möglichkeit, die ID des Opfers beim Server zu registrieren. Deswegen wird in diesen Fällen ein öffentlicher Schlüssel von Locky  verwendet, der Teil der Konfiguration ist und eine spezielle ID für die Payment-Seite generiert.

locky-with-offline-config

Der öffentliche Schlüssel ist für alle Offline-Opfer, die vom selben Sample infiziert wurden und die gleiche Konfiguration haben, gleich. Dieser öffentliche Schlüssel besitzt eine ID, sodass der Server letztendlich zwischen öffentlichen Schlüsseln verschiedener Locky-Konfigurationen unterscheiden kann.

Um zwischen den verschiedenen Offline-Opfern und deren Payment-Status unterscheiden zu können, generiert Locky zudem auch eine spezielle Opfer-ID, die in der Lösegeldforderung erscheint.

Diese spezielle Opfer-ID wird wie folgt generiert. Verwendet werden

  • die ersten 6 Hexadezimalstellen der normalen Opfer-ID, die auf dem Globally Unique Identifier (GUID), der Festplatten-Partition basiert
  • die verwendete Sprache des Betriebssystems,
  • die Version und der Typ des Betriebssystems (Server/kein Server),
  • die Bestätigung, ob ein Domain-Controller (ein Server zur zentralen Authentifizierung) genutzt wird (wenn ja, ist das Opfer wahrscheinlich Teil eines Unternehmens und die Lösegeldforderung kann erhöht werden),
  • eine Affiliate-ID aus der Konfiguration (normalerweise wird darüber festgelegt, auf welchem Weg die Malware das System befallen hat)
  • sowie der öffentliche Schlüssel aus der Konfiguration.

Die Unterscheidung von Online- und Offline-Opfern von Locky

Um zwischen normalen Opfer-IDs und speziellen Opfer-IDs unterscheiden zu können, nutzt das neue Locky eine andere Kodierungsmethode. Anstelle der Hexadezimalstellen „0123456789ABCDEF“ wird nun das neue 32-Zeichen-Alphabet „YBNDRFG8EJKMCPQX0T1UWISZA345H769“ zur Verschlüsselung der speziellen Opfer-ID verwendet. Basierend auf dieser speziellen Opfer-ID kann der Locky-Server dann den öffentlichen Schlüssel extrahieren und dem Opfer den korrekten privaten Schlüssel zukommen lassen.

locky-id-encoding-with-custom-alphabet

Ermäßigtes Lösegeld für Opfer mit Durchblick

Dieser private Schlüssel stimmt mit dem aller anderen Opfer, die die gleiche Locky-Konfiguration aufweisen, überein und generiert damit sozusagen Rabattmöglichkeiten für die Opfer.

„Diese Möglichkeit besteht theoretisch für ein Unternehmen mit einem Domain Controller, das von der neuen Locky-Version erwischt wurde und keine Hexadezimalstellen-ID wie z.B. „BSYA47W0NGXSWFJ9“ sieht. Es wäre wahrscheinlich „billiger“, eine Opfer-ID mit dem gleichen öffentlichen Schlüssel zu generieren und dabei wegzulassen, dass es sich um ein Unternehmen handelt, “ erklärt Moritz Kroll. „Der sich im Decrypter befindliche private Schlüssel für „Nicht-Unternehmen“, sollte auch für Computer des Unternehmens funktionieren – und damit für alle Opfer des gleichen öffentlichen Schlüssels. Aber natürlich ist es immer besser, Vorsichtsmaßnahmen zu ergreifen, eine BackUp-Strategie zu haben und gar nicht erst von Locky erwischt zu werden.“

Referenz-Beispiel SHA256
01aa8c430a9653cc4ae0574e151658bde36fe59e57d3489e4216e4a0ef402170

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.