Locky und das Namedropping

Ich habe mir gerade die neuesten E-Mails der Ransomware Locky angesehen. Dabei bemerkte ich zum einen, dass der Ton ausgesprochen unhöflich war, und zum anderen, dass sowohl die Wortwahl als auch die Kommunikationstechnik darauf hindeuten, dass die Anti-Malware-Bemühungen von Avira von Erfolg gekrönt sind.

Die versteckte Botschaft von Locky

Die Beleidigungen sind in den Spammails versteckt, mit denen das Downloadprogramm für die Ransomware verbreitet wird. In den Tiefen der verworrenen, verschleierten JavaScript-Datei, die den Download der schädlichen Dateien aus dem Internet bewirkt, finden sich unter anderem kindische Kommentare über mich und über einen anderen Anbieter im Bereich der Internetsicherheit.

In diesem Fall ist das Kommunikationsmedium von entscheidender Bedeutung. Locky, der „erfolgreichste“ Newcomer unter den Verschlüsselungstrojanern, verbreitet sich indirekt.  Er wird in der Regel mithilfe von Spammails unter die Leute gebracht: Durch Social Engineering werden Benutzer dazu verleitet, den Anhang zu öffnen. Zu diesem Zweck missbraucht Locky Technologien wie Microsoft-Word-Makros und seit Neuestem auch JavaScript.

Social Engineering ist nicht alles

Doch nur weil sich Benutzer mit Social-Engineering-Taktiken hinters Licht führen lassen und Locky aktivieren, darf man nicht alle Probleme ihnen allein zur Last legen. Die Cyberkriminellen, die Locky entwickelt haben, gehen sehr professionell vor und ihr technisches Können spielt eine ebenso große Rolle wie ihre Betrugsmasche. Um nicht nur auf einen PC zu gelangen, sondern ihn auch tatsächlich zu infizieren, müssen sie zunächst das Programm zum Schutz der Internetsicherheit umgehen. Es ist wichtig, Locky als Ganzes zu betrachten: Es handelt sich um ein riesiges Netzwerk mit einem Command-and-Control-Server und einem Domain-Generation-Algorithmus mit Zufallsgenerator. All das ist das Werk äußerst professionell arbeitender Experten.

Analyse und Erkennung in der Cloud

Bei Avira sind wir bestrebt, Locky (und alle anderen Arten von Malware) zu erkennen, lange bevor Sie direkt mit Social Engineering konfrontiert werden. Wir konzentrieren uns darauf, verdächtige E-Mails und Locky-Downloadprogramme zu identifizieren, sobald sie in Ihrem Posteingang landen. Und zwar ganz gleich, ob sie sich JavaScript, Microsoft-Word-Makros oder eine andere, derzeit noch unbekannte Schwachstelle zunutze machen. Dazu greifen wir auf viele verschiedene Methoden zurück.

Die meisten unserer Locky-Erkennungsmechanismen werden in der Avira Cloud-Sicherheit entwickelt. Die zwei großen Vorteile dieser Technologie liegen darin, dass die Erkennungsmechanismen nicht von Cyberkriminellen zurückentwickelt werden können und dass wir Binärdateien in Echtzeit analysieren können. Dadurch sind wir in der Lage, genau festzustellen, welche Maßnahmen und Änderungen zum Schutz unserer Kunden nötig sind.

travis_sucks_big

Was mich wieder zu der Botschaft in dem verschleierten JavaScript-Text zurückbringt.

  1. Sie ist ein Kompliment. Ja, ich sehe es als Kompliment, dass die Cyberkriminellen mich in ihrem neuesten JavaScript-Downloadprogramm für Locky erwähnen. Schließlich würden sie Avira kaum für erwähnenswert befinden, wenn unsere Maßnahmen nicht effektiv und wir ihnen nicht ein Dorn im Auge wären. Wir haben die Botschaft verstanden.
  2. Sie ist nicht persönlich gemeint. Es geht dabei nicht einmal wirklich um mich. Sie ist einfach ein großes (wenn auch indirektes) Kompliment an unsere Analyse-Experten im Virenlabor, die Tag für Tag daran arbeiten, die neuesten Tricks von Locky und anderen Elementen aufzudecken, die sich der Dunklen Seite der Macht verschrieben haben.
  3. Es ist noch nicht vorbei. Der Kampf gegen Locky und andere Malware ist keine einmalige Sache. Er ist vielmehr ein fortwährender Krieg. Und bei Avira sind wir beständig darum bemüht, unsere Analysemethoden und Erkennungsmechanismen zu verbessern, um diese Bedrohung von Ihren Geräten fernzuhalten.

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch

Chief Executive Officer