«Locky» geht den Internetnutzern weiter auf die Nerven. Der Verschlüsselungstrojaner ist seit einigen Tagen im Umlauf, jetzt hat er offenbar einen neuen Deckmantel. Sipgate, ein Düsseldorfer Anbieter für Internet-Telefonie, rät zur Vorsicht, wenn man eine E-Mail mit seinem Namen und Logo erhält. «Es werden täuschend echte E-Mails mit unserem Namen und Logo verschickt», steht derzeit prominent auf der Unternehmens-Website, auch über die Social-Media-Accounts wird gewarnt.
Im Sipgate-Blog heisst es, an die Betrüger-E-Mails sei eine Zip-Datei angehängt, in der sich eine Java-Script-Datei befindet, die einen noch unbekannten Trojaner nachlädt. Sipgate würde aber keine Zip-Dateien verschicken. Die Phishing-E-Mails gehen laut Sipgate sowohl an Kunden als auch Nichtkunden des Unternehmens.
Laut einem Bericht von «Heise Online» wird mit den vermeintlichen Sipgate-E-Mails der Kryptotrojaner «Locky» verbreitet, der seit einigen Tagen für Unmut sorgt. Ein «Heise»-Screenshot zeigt eine der vermeintlichen Sipgate-E-Mails mit dem Hinweis «Sie haben ein neues Fax in Ihrer Ereignisliste». Wer die E-Mail bei sich entdeckt, solle sie sofort löschen, rät das Tech-Magazin.
Locky kann man sich als Erpressungssoftware vorstellen: Windows-Rechner werden mit einem Trojaner infiziert, der wichtige Dateien zunächst verschlüsselt und dann umbenennt. Die Dokumente haben nach dem Prozess die Endung .locky, daher hat der Trojaner seinen Namen. Die Verschlüsselung ist offenbar kaum zu knacken, nach Angaben der Erpesser werden die Dateien mit einem RSA-Kryptoschlüssel und einer AES-Verschlüsselung unbrauchbar gemacht.
Sobald die Dateien verschlüsselt sind, erscheint ein Erpresserbrief mit einer Lösegeldforderung. In dem Brief steht, dass die Dateien nur mit einer speziellen Software gerettet werden können. Und für diese Software verlangen die Erpresser einen Betrag von 0,5 Bitcoin, was laut dem aktuellen Kurs der Digitalwährung rund 200 Euro entspricht.
Grundsätzlich wird bei Erpressersoftware davon abgeraten, das Geld zu bezahlen. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) zum Beispiel weist darauf hin, dass Kriminelle in vielen Fällen auch nach einer Zahlung einfach darauf verzichten, die Daten wirklich freizuschalten. Betroffene sollten lieber den Bildschirm samt der Erpressungsnachricht fotografieren und Anzeige erstatten.
Alleine in Deutschland sind Sicherheitsforschern zufolge schon mehrere Tausend Rechner mit Locky infiziert. Vergangenen Freitag schätzte der britische IT-Experte Kevin Beaumont, dass «Locky» allein in den vorherigen 24 Stunden etwa 17'000 Rechner in Deutschland infiziert habe. «Locky» kann man sich über Phishing-E-Mails, Berichten zufolge aber auch über bestimmte Websites einfangen.
Sipgate ist nicht das erste Unternehmen, dessen Namen «Locky»-Betrüger als Deckmantel für Phishing-E-Mails verwenden. Bei einer vorherigen «Locky»-Welle wurden vermeintliche Rechnungen eines Wurstwarenkonzerns verschickt.
Dieser hatte wie Sipgate nichts mit dem Trojaner zu tun, sah sich in Folge der E-Mails aber mit einer grossen Zahl von Nutzeranfragen konfrontiert. «Heise Online» berichtete Montag, durch die «Mailflut» sei die digitale Infrastruktur des Unternehmens am Freitag für sechs bis sieben Stunden lahmgelegt worden. (kad/mbö/jbr)