Heise berichtete gestern, dass nur drei von 54 Antiviruslösungen den Cryptolocker erkennen – und Avira gehört nicht dazu. Wir möchten jedoch eins klarstellen: Avira Antivirus hat keine Probleme damit, Locky zu erkennen. Zusätzlich zu der generischen Erkennung, die auf 2015 zurückgeht, wird Locky auch von den NightVision- und Autodump-Erkennungsmodulen der Avira Protection Cloud (APC) als Schadsoftware erkannt – selbst wenn sie es durch unsere Javascript- oder Office-Erkennungen schaffen.
„Locky hat es bisher noch nicht geschafft, unseren Cloud-Schutz zu durchbrechen – wir haben ihn mehrmals in der APC aufgegriffen“, sagt Stefan Kurtzhals vom Avira Protection Lab. „Es ist ein gutes Beispiel dafür, wie gut reine Back-End-Erkennungsmethoden – bei der die Malware in der Avira Cloud analysiert und entdeckt wird – im Vergleich zu den auf VirusTotal gelisteten signaturartigen Erkennungen, funktionieren.“
Kurtzhals bezieht sich auf die Avira Protection Cloud – unserer In-Cloud-Technologie, um Bedrohungen zu analysieren und zu erkennen – einem integralen Teil unsere Antiviruslösungen. Mit der APC kann Avira potentiell gefährliche Binärpogramme zur Analyse in die Cloud hochladen. Dadurch, dass die Erkennung im Cloud-Backend stattfindet, können Cyberkriminelle, wie zum Beispiel die Autoren von Locky, nicht direkt sehen wie wir vorgehen – oder ihr Arsenal an Tricks anwenden, um der Entdeckung zu entgehen.
Geographisch scheint sich Locky nicht auf ein Gebiet zu beschränken. Allein über ein Sample konnte Avira anvisierte Computer in Deutschland, England/USA, Spanien, Italien und den Niederlanden identifizieren.
Locky wird normalerweise per Email in einem angehängten Microsoft Word-Dokument versandt. Wenn Office-Macros eingeschaltet sind, installiert sich die Malware, sobald das Dokument geöffnet wird. Sind Macros ausgestellt, erinnert die Malware den Empfänger daran, dass sie sie unbedingt einschalten müssen – und macht sich dann an die Arbeit.
Nachdem Locky vor kurzem auch anfing Javascript-Mails zu verschicken, zeigte eine Analyse des Skripts, dass sowohl Locky als auch Dridex den gleichen Javascipt Obfuskator zu nutzen scheinen. Das würde darauf hindeuten, dass sie wahrscheinlich den gleichen FUD-Dienst (Fully UnDetected) zum Versenden ihrer Spam-Mails verwenden.
„Obwohl Avira diese Malware entdeckt ist es für alle Anwender dennoch sehr wichtig den gesunden Menschenverstand zu nutzen und nicht auf verdächtige Anhänge zu klicken“, merkt Kurtzhals an. „Ob nun Locky oder Dridex, es ist eine weitverbreitete Methode, um solche Schadprogramme zu verbreiten. Deswegen: Vor dem Klicken unbedingt den Kopf einschalten.“
Guten Abend.
Ich haette da noch eine Frage …
Nachdem Locky vor kurzem auch anfing Javascript-Mails zu verschicken, zeigte eine Analyse des Skripts, dass sowohl Locky als auch Dridex den gleichen Javascipt Obfuskator zu nutzen scheinen. Das würde darauf hindeuten, dass sie wahrscheinlich den gleichen FUD-Dienst (Fully UnDetected) zum Versenden ihrer Spam-Mails verwenden.
Wie sendet das Script? [Direkt, MAPI, Relay ..]
Welcher Port verwendet das Script? [tcp/25, tcp/110, tcp-udp/143 …]
Vielen Dank fuer Ihre Antwort.
Viele Gruesse
If we are talking about the spammed script, not the spam script:
the spammed script uses an MSXML2.XMLHTTP ActiveX object to download the malware from a normal http server (port 80)
Guten Abend.
Mich interessiert zu dem Thema noch eine Kleinigkeit.
Nachdem Locky vor kurzem auch anfing Javascript-Mails zu verschicken, zeigte eine Analyse des Skripts, dass sowohl Locky als auch Dridex den gleichen Javascipt Obfuskator zu nutzen scheinen. Das würde darauf hindeuten, dass sie wahrscheinlich den gleichen FUD-Dienst (Fully UnDetected) zum Versenden ihrer Spam-Mails verwenden.
Wie versendet das Script?? Direkt, via MAPI oder Relay?
Auf welchem Port sendet das Script?
Danke fuer Ihre Antwort.
vielleicht einfach mal den gleichen Virus erneut bei virustotal hochladen und neu erkennen lassen statt zu jammern das Heise sich auf 4 Tage alte Erkennung beruft. Wenn Avira den Schädling jetzt erkennt, wird die Liste bei Virustotal ja aktualisiert.
der Scan auf virustotal ist soweit ich weiß ohne Cloud-Scan und weiteren Technologien. Jedenfalls nicht mit einer installierten Avira Software mit allen aktivierten Schutzmodulen vergleichbar.
Guten Tag,
Avira kann Locky also erfolgreich entfernen, aber was geschieht mit den verschlüsselten Dateien? Auch nach der Entfernung von Locky bleiben die Dateien doch wohl weiterhin verschlüsselt oder?
Danke für Ihre Antwort.
Hallo Karl,
die Dateien bleiben verschlüsselt oder sind bei Glück nur teilweise verschlüsselt. Du kannst probieren diese mit der dazugehörigen Software zu öffnen (Bildbetrachter / Office / PDF). Klappt das, kannst du die Dateien korrekt umbenennen und verwenden. Ansonsten aufheben bis ein Tool zur Entschlüsselung kostenfrei für die Community bereitsteht.