Und weiter geht’s: Mit dieser neuen Variante von Ransomware geht die Evolution erneut eine Stufe weiter.
Es tauchen immer mehr Berichte auf, nach denen am Montag Nachmittag offenbar auf mehreren Systemen zeitgesteuert ein bisher schlafender Cryptotrojaner namens Locky geweckt und aktiv worden ist. Gemäß der üblichen Vorgehensweise seiner Art durchsucht auch er die persönlichen Dateien und verschlüsselt diese. Die Liste der Endungen, die der Verschlüsselung zum Opfer fallen, wird jedoch immer länger. So umfasst sie bei Locky über 150 Einträge.
Die tickende Zeitbombe ist dabei aber nicht einmal die schlimmste Eigenart dieser Ransomware. Viel gravierender ist die Tatsache, dass Locky nach der Verschlüsselung das Programm vssadmin.exe mit den Parametern „Delete Shadows /All /Quiet“ aufruft. Dies vernichtet alle auf dem System vorhandenen Volumenschattenkopien, die in der Vergangenheit das ein oder andere Opfer eines Cryptotrojaners gerettet haben. So konnten sie, wenn sie diesen Dienst nutzten, nach der Säuberung des Systems über den Dialog „Vorgängerversion wiederherstellen“ ihre Dateien auf den Stand vor der Infektion/Verschlüsselung zurücksetzen. Dies verhindert Locky wirkungsvoll!
//matthias.p
Quellen (Stand 17.02.2016):
| www.heise.de | Bleeping Computer |