Erpressungs-Trojaner Locky markiert Geisel-Dateien mit .aesir-Endung
Wer plötzlich kryptisch bezeichnete Dateien mit der Endung .aesir auf seinem Computer vorfindet, hat sich die aktuelle Locky-Version eingefangen.
Der Erpressungs-Trojaner Locky kennzeichnet verschlüsselte Dateien neuerdings mit der Namenserweiterung .aesir, warnt das Notfall-Team des BSI CERT-Bund.
Hat der Schädling einen Windows-Computer infiziert, verschlüsselt er unter anderem private Daten und stellt den Schlüssel erst nach einer Lösegeldzahlung in Aussicht. Aktuell gibt es kein kostenloses Entschlüsselungstool.
Gefährliche Fake-Mails
Den Ransomware-Experten von Bleepingcomputer.com zufolge verschicken die Drahtzieher hinter dem Erpressungs-Trojaner aktuell im Namen von Telekommunikationsanbietern gefälschte E-Mails, mit gefährlichem Dateianhang. In den Mails sollen die Kriminellen behaupten, dass der eigene Computer zum Spam-Versand missbraucht wird. Im Anhang befinde sich ein Zip-Archiv, in dem eine ausführbare JS-Datei stecke, berichten die Sicherheitsforscher.
Wer auf die Fake-Mail hereinfällt und die vermeintliche Log-Datei aus dem E-Mail-Anhang öffnet, holt sich eine verschlüsselte DLL-Datei auf den Computer. Diese schießt sich in den legitimen Prozess Rundll32.exe und startet so die Locky-Infektion. Auf diese Vorgehensweise setzt Locky schon länger.
Nordische Mythologie
Verschlüsselte Dateien sehen zum Beispiel so aus: 016CCB88-61B1-ACB8-8FFA-86088F811BFA.aesir. Aufgrund der kryptischen Bezeichnung kann man als Opfer nicht mehr zuordnen, welche Dateien der Erpressungs-Trojaner erwischt hat. Das ist mittlerweile ein gängiges Konzept von Ransomware.
Bis vor kurzem kennzeichnete Locky gefangengenommene Dateien noch mit der Namenserweiterung .odin. Mit der Bezeichnung .aesir bleiben die Malware-Entwickler der nordischen Mythologie treu und verwenden abermals den Namen eines Gottes.
Parallel soll sich Locky auch über den Facebook-Messenger verbreiten. Dabei verschicken Kriminelle kommentarlos SVG-Grafiken von gekaperten Konten. Diese Grafiken verweisen auf verseuchte Webseiten.
Quelle: https://heise.de/-3493965