Locky Odin

Ransomware Locky als nordischer Gott Odin

Locky verschlüsselt jetzt Dateien mit der Dateierweiterung „Odin“ und hat viele neue Dateitypen hinzugefügt, die schnell verschlüsselt werden können.

Odin spielt in der nordischen Mythologie eine große Rolle. Er ist nicht nur der Gott der Runen, sondern tritt auch als Heiler auf. Odin entscheidet auch über das Schicksal der Gefallenen, indem er die Hälfte als Einherjer zum Feiern mit den Wallküren schickt und sie sich auf weitere Schlachten vorbereiten können.

Die Opfer der neuen Ransomware hingegen trifft ein härteres Schicksal. Die neueste Locky-Variante geht gründlicher vor und verschlüsselt weit mehr als die Hälfte aller Dateien auf den Computern der Opfer.

„Es wurden mehr als 256 weitere Dateitypen hinzugefügt. Die Änderung der Dateierweiterung von .zepto zu .odin ist nur kosmetischer Natur“, sagt Moritz Kroll, Malware-Spezialist im Avira Malware Research Center. „Auf diese Weise werden viel mehr Dateien erfasst und verschlüsselt und die Chance ist noch größer, dass die Opfer Lösegeld bezahlen.“

Die neuen Dateitypen sollen möglichst viele potenzielle Opfer ansprechen: Gamer, Filmfans, Unternehmer und sogar Malware-Experten. Wir bei Avira konnten feststellen, welche Benutzer unter anderem angegriffen werden:

Gamer: Spieler des klassischen Computerspiels „Doom“ von id Software über Spieldatendateien mit der Erweiterung „.wad“.

Filmliebhaber: Filmfans, die sich gern Filme mit Untertitel ansehen. Locky bietet daher Untertiteldateien mit der Endung „.srt“ an.

Kleine Unternehmen: Die Buchhaltungssoftware QuickBooks von Intuit mit den Dateien „.qba“ und „.qbm“.

Fans von kostenloser Software: Benutzer von OpenOffice (eine Freeware-Alternative zu Microsoft Office) tappen mit den Dateierweiterungen „.odf“ in die Falle. Andere OpenOffice-Formate wurden zuvor bereits unterstützt.

Grafiker: Benutzer von CorelDraw-Dateien mit der Erweiterung „.cdr“ und des kostenlosen Blender 3D-Rendering-Programms. Sie stecken viel Zeit in die Bearbeitung der Dateien, daher wäre die Verschlüsselung dieser Dateien ein großer Verlust.

Malware-Analysten: Selbst vorsichtige Benutzer, die virtuelle Rechner für ihre Recherchen nutzen, sind mit Dateierweiterungen für QEMU-, VirtualBox- und VirtualPC-Programme ein mögliches Ziel.

„Beim Blick auf die detaillierte Liste mit Risiken kann man schon den Wald vor lauter Bäumen nicht mehr erkennen“, erläutert Kroll. „Die Internetkriminellen entwickeln ein immer dichtmaschigeres Netz, um immer mehr Dateien zu verschlüsseln. Das Vertrauen darauf, dass es Sie nicht erwischen wird, weil Sie mit ungewöhnlichen Dateiformaten arbeiten oder Windows-Programme meiden, reicht keinesfalls aus.“


ÄHNLICHER ARTIKEL

https://blog.avira.com/ransomware-attacks-not-victim/


Referenzbeispiel:
https://www.virustotal.com/en/file/86d229d219a21ab8092839a4361d30977e56c78f0ada10b6d68363b2834dd1dc/analysis/

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.