Natalia Merzlyakova - Fotolia

So arbeitet der Erpressungstrojaner Locky

Angriffe per Erpressungstrojaner wie Locky richten sich 2016 auch gezielt gegen Unternehmen. Grund genug für eine Analyse der Ransomware.

Die Locky-Ransomware wurde erstmals im Februar 2016 bekannt, als sie ein Krankenhaus in Los Angeles lahmlegte. Das Krankenhaus zahlte am Ende Lösegeld in Höhe von 17.000 US-Dollar in Bitcoins, um seine Systeme wieder verwenden zu können – und dieses US-Beispiel macht auch in Deutschland Schule. Krankenhäuser, Behörden, Forschungseinrichtungen wurden bereits mit der Ransomware infiziert und kamen den erpresserischen Forderungen der Angreifer nach.

Eine Analyse verdeutlicht, wie die Angreifer vorgehen, um die Erpresser-Malware in Umlauf zu bringen und in Unternehmen einzuschleusen. Spam-Mails transportieren die Malware über verschiedene Attachments in Unternehmen. Die erste Welle der Locky-Ransomware erreichte die Opfer noch über Microsoft Office-Dokumente, die VBA-Makros beinhalteten. Die Makros lösten einen Download aus und der Payload zur Sperrung der Daten wurde auf den Systemen der betroffenen Unternehmen ausgeführt.

Der Payload wird sehr variabel ausgeliefert: So wurden im März 75 neue Varianten der Ramsomware-Familie blockiert. Dabei war ein Strategiewechsel der Malware-Autoren zu beobachten. Zwischenzeitlich erfolgt die Verbreitung durch Zip-Archive, die infizierte JavaScript-Dateien mit ActiveX-Objekten herunterladen, die den Locky-Payload sodann auf den infizierten Systemen ausführen.

Die Dateien sind dabei hoch verschleiert und nutzen eine UTC-16-Kodierung, um die Download-URL zu verbergen. Außerdem wird der Payload regelmäßig geändert, was typisch ist für Exploit Kits, da die Landing Page so geschützt wird und Antiviren-Programme die Ransomware nicht entdecken können.

Das ThreatLabZ-Team von Zscaler hat kürzlich eine neuere Variante eines Locky-Payloads analysiert – der eine 32-bit Microsoft Visual C++ Datei enthält –, die auf Windows ausführbar ist und mit einem Custom-Packer komprimiert wird.

Mit der Ausführung checkt die Malware zunächst die Standardspracheinstellungen des infizierten Systems. Ist die Standardsprache Russisch, zerstört Locky sich selbst.Ist das nicht der Fall, erstellt Locky umgehend eine Kopie als %TEMP%/svchost.exe und einen Autostart-Registry-Key-Eintrag, so dass die Malware auch nach einem Neustart weiterhin aktiv bleibt. Um eine erfolgreiche Infektion eines Systems kenntlich zu machen, kreiert die Malware einen Registrierungsschlüssel mit dem Wert „pubkey“ und „paytext“. „Pubkey“ wird genutzt, um die RSA-Verschlüsselung zu speichern. „paytext“ hinterlegt die zahlungsrelevanten Informationen.

Abbildung 1: Über die URLs in der Lösegeldforderung gelangt man zu den Instruktionen für die Zahlung. Nach erfolgter Zahlung erhält man den privaten RSA-Schlüssel.

Nach einer erfolgreichen Infektion verschlüsselt die Ransomware verschiedene Dateitypen auf dem Rechner des Opfers. Die verschlüsselten Dateien werden mit einer einzigartigen ID umbenannt, gefolgt von einer einzigartigen Datei-ID, die die Endung .locky enthält. Die Lösegeldforderung erscheint dann als Bitmap-Bild, das auch als Bildschirmhintergrund auf dem infizierten System angezeigt wird.

Wie auch in anderen Fällen von Crypto-Ransomware, werden die Dateien als „Geiseln“ gehalten und damit eine Zahlung von Lösegeld erpresst. Die Instruktionen für die Zahlung sind abrufbar über die URLs in der Lösegeldforderung. Nach Zahlung erhält man dann den privaten RSA-Schlüssel und kann die Dateien wieder entschlüsseln.

„Locky ist eine der aktivsten und lukrativsten Malware-Varianten, die in den letzten drei Jahren ihre Kreise gezogen hat.“

Deepen Desai, Zscaler

Der Locky-Payload enthält eine Liste mit festcodierten Command & Control (C&C) Server IP-Adressen. Zusätzlich setzt die Ransomware einen benutzerdefinierten Domain Generation Algorithmus (DGA) ein, um den Ort des C&C-Servers zu verbergen. Der Trojaner kommuniziert über eine benutzerdefinierte Verschlüsselung mit dem Server und nutzt ein HTTP-Anfrage-Format POST http:// [hardcoded IP oder DGA domain]/main.php. Die erste Kommunikation enthält drei HTTP-POST-Anfragen:

  • Anfrage #1: Die einzigartige ID des infizierten Systems wird registriert und ein RSA-Schlüssel angefragt, um die Dateien des Nutzers zu verschlüsseln.
  • Anfrage #2: Locky fragt den Inhalt der Lösegeldforderung an.
  • Anfrage #3: Die finale Anfrage enthält die Statistiken über die erfolgreiche Verschlüsselung der Daten.

Locky ist eine der aktivsten und lukrativsten Malware-Varianten, die in den letzten drei Jahren ihre Kreise gezogen hat. Die Ransomware folgt dem bereits bekannten Modell der asymmetrischen Verschlüsselung, um die Dokumente des Nutzers zu sperren und Lösegeld für die Entschlüsselung zu erpressen. Es ließ sich darüber hinaus eine Überschneidung zwischen den URLs feststellen, die zur Auslieferung der Locky- und Dridex-Payloads benutzt wurden.

Über den Autor:
Deepen Desai ist Head of Security Research bei Zscaler.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close