Wenn Sie auf Ihrem Computer plötzlich Dateien mit der Endung .aesir finden, haben Sie sich höchstwahrscheinlich die neueste Version des Erpressungs-Trojaners Locky eingefangen. Diese Malware kennzeichnet verschlüsselte Dateien mit der Namenserweiterung .aesir um Geiselnamen zu markieren. Locky funktioniert · indem er die Dateien eines Opfers verschlüsselt und dann Lösegeld von ihnen verlangt · um sie wiederherzustellen. Die Verwendung von Verschlüsselungsalgorithmen macht es fast unmöglich die Dateien ohne den private Schlüssel des Angreifers wiederherzustellen. Es wird dringend empfohlen, regelmäßig Datensicherungen durchzuführen & Antiviren-Software auf dem neuesten Stand zu halten um eine Infektion zu vermeiden.
Hat der Schädling einen Windows-Computer infiziert, verschlüsselt er unter anderem private Daten und stellt den Schlüssel erst nach einer Lösegeldzahlung in Aussicht. Aktuell gibt es kein kostenloses Entschlüsselungstool.
Gefährliche Fake-Mails
Den Ransomware-Experten von Bleepingcomputer.com zufolge verschicken die Drahtzieher hinter dem Erpressungs-Trojaner aktuell im Namen von Telekommunikationsanbietern gefälschte E-Mails, mit gefährlichem Dateianhang. In den Mails sollen die Kriminellen behaupten, dass der eigene Computer zum Spam-Versand missbraucht wird. Im Anhang befinde sich ein Zip-Archiv, in dem eine ausführbare JS-Datei stecke, berichten die Sicherheitsforscher.
Wer auf die Fake-Mail hereinfällt und die vermeintliche Log-Datei aus dem E-Mail-Anhang öffnet, holt sich eine verschlüsselte DLL-Datei auf den Computer. Diese schießt sich in den legitimen Prozess Rundll32.exe und startet so die Locky-Infektion. Auf diese Vorgehensweise setzt Locky schon länger.
Nordische Mythologie
Verschlüsselte Dateien sehen zum Beispiel so aus: 016CCB88-61B1-ACB8-8FFA-86088F811BFA.aesir. Aufgrund der kryptischen Bezeichnung kann man als Opfer nicht weiterhin zuordnen welche Dateien der Erpressungs-Trojaner erwischt hat. Das ist mittlerweile ein gängiges Konzept von Ransomware.
Bis vor kurzem kennzeichnete Locky gefangengenommene Dateien noch mit der Namenserweiterung .odin. Mit der Bezeichnung .aesir bleiben die Malware-Entwickler der nordischen Mythologie treu und verwenden abermals den Namen eines Gottes.
Parallel soll sich Locky ebenfalls über den Facebook-Messenger verbreiten. Dabei verschicken Kriminelle kommentarlos SVG-Grafiken von gekaperten Konten. Diese Grafiken verweisen auf verseuchte Webseiten.
Kommentare