Locky in the Cloud with Ransomware

Heise berichtete gestern, dass nur drei von 54 Antiviruslösungen den Cryptolocker erkennen – und Avira gehört nicht dazu. Wir möchten jedoch eins klarstellen: Avira Antivirus hat keine Probleme damit, Locky zu erkennen. Zusätzlich zu der generischen Erkennung, die auf 2015 zurückgeht, wird Locky auch von den NightVision- und Autodump-Erkennungsmodulen der Avira Protection Cloud (APC) als Schadsoftware erkannt – selbst wenn sie es durch unsere Javascript- oder Office-Erkennungen schaffen.

„Locky hat es bisher noch nicht geschafft, unseren Cloud-Schutz zu durchbrechen – wir haben ihn mehrmals in der APC aufgegriffen“, sagt Stefan Kurtzhals vom Avira Protection Lab. „Es ist ein gutes Beispiel dafür, wie gut reine Back-End-Erkennungsmethoden – bei der die Malware in der Avira Cloud analysiert und entdeckt wird – im Vergleich zu den auf VirusTotal gelisteten signaturartigen Erkennungen, funktionieren.“

Kurtzhals bezieht sich auf die Avira Protection Cloud – unserer In-Cloud-Technologie, um Bedrohungen zu analysieren und zu erkennen – einem integralen Teil unsere Antiviruslösungen. Mit der APC kann Avira potentiell gefährliche Binärpogramme zur Analyse in die Cloud hochladen. Dadurch, dass die Erkennung im Cloud-Backend stattfindet, können Cyberkriminelle, wie zum Beispiel die Autoren von Locky, nicht direkt sehen wie wir vorgehen – oder ihr Arsenal an Tricks anwenden, um der Entdeckung zu entgehen.

Geographisch scheint sich Locky nicht auf ein Gebiet zu beschränken. Allein über ein Sample konnte Avira anvisierte Computer in Deutschland, England/USA, Spanien, Italien und den Niederlanden identifizieren.

Locky wird normalerweise per Email in einem angehängten Microsoft Word-Dokument versandt. Wenn Office-Macros eingeschaltet sind, installiert sich die Malware, sobald das Dokument geöffnet wird. Sind Macros ausgestellt, erinnert die Malware den Empfänger daran, dass sie sie unbedingt einschalten müssen – und macht sich dann an die Arbeit.

Nachdem Locky vor kurzem auch anfing Javascript-Mails zu verschicken, zeigte eine Analyse des Skripts, dass sowohl Locky als auch Dridex den gleichen Javascipt Obfuskator zu nutzen scheinen. Das würde darauf hindeuten, dass sie wahrscheinlich den gleichen FUD-Dienst (Fully UnDetected) zum Versenden ihrer Spam-Mails verwenden.

„Obwohl Avira diese Malware entdeckt ist es für alle Anwender dennoch sehr wichtig den gesunden Menschenverstand zu nutzen und nicht auf verdächtige Anhänge zu klicken“, merkt Kurtzhals an. „Ob nun Locky oder Dridex, es ist eine weitverbreitete Methode, um solche Schadprogramme zu verbreiten. Deswegen: Vor dem Klicken unbedingt den Kopf einschalten.“

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.