Die Sicherheitsforscher des Virenscanner-Herstellers AVIRA warnen vor einer neuen Welle von Erpressungs-Versuchen mit einer Variante des Locky-Schadcodes. Verbreitet wird der neue Verschlüsselungs-Trojaner wie gehabt per Email-Anhang.

Locky ist zurück

Die Ransomware Locky machte Anfang vergangenes Jahr viele Schlagzeilen. Nutzer weltweit hatten sich die Schadsoftware eingefangen, die auf dem System des Opfers einzelne Dateien verschlüsselt und dann eine Bitcoin-Zahlung für die Wiederfreigabe der Daten erpresst. Es folgten einige Wellen an Abarten des Schadcodes, die wieder unter dem Radar der Virenscanner liefen, sich aber immer das gleiche Prinzip und die gleichen Sicherheitslücken zu Nutze machten. Doch nun meldet das deutsche Software-Unternehmen AVIRA, das Locky wieder zurück ist, dieses Mal unter dem Namen Asasin.

Variante verbreitet sich wieder

Die Sicherheitsforscher des Teams hätten in den vergangenen Tagen vermehrt eine neue Locky-Variante bemerkt, die sich wie ihr Urvater wurmartig selbst verbreitet und per Email-Anhang den Weg zu ihren Opfern findet. Die Ransomware nutzt dabei manipulierte Office-Dokumente. In den Word-Dateien verbergen sich dann Makros, die sich selbsttätig im Hintergrund den Trojaner aus dem Internet laden. Anschließend kann dieser sein böses Werk ausführen und Daten auf dem Zielsystem verschlüsseln. Dabei bekommen die Daten die neue Endung .asasin, der auch der neue Name der Locky-Variante ist.

Auch Libre Office betroffen

Betroffen sind laut dem Bericht von AVIRA nicht nur Office-Dokumente von Microsoft, sondern auch von Libre Office. Zumeist werden sie durch Spam-Mails verbreitet, Asasin soll aber auch schon über Peer to Peer und unseriöse Downloadquellen im Huckepack gekommen sein.


Für die Entschlüsselung wird ein Betrag von 0,3 Bitcoin gefordert. Erpressungstrojaner wie der Locky-Stamm tun viel dafür, dass sie nicht erkannt werden. Die meisten Virenscanner entdecken die Ransomware jedoch mittlerweile zuverlässig. Dafür ist es aber wichtig, dass man seine Sicherheitssoftware auf dem Laufenden hält und Aktualisierungen regelmäßig überprüft. Laut AVIRA wurden die neuen Varianten von Locky bereits für die Erkennung in die AVIRA-Software eingebunden, andere Hersteller sollten bereits ähnlich gehandelt haben.
winfuture.de