Een trojan met de naam 'Locky' verspreidt zich sinds de afgelopen dagen via Word- en Excel-bestanden met een kwaadaardige macro. De bestanden worden verspreid via e-mail. Over het algemeen betreft het een melding van een openstaande rekening.
Na het openen van het geïnfecteerde bestand vraagt de malware de gebruiker om macro's in te schakelen. Over het algemeen staat het uitvoeren van macro's standaard uit. Als de macro's ingeschakeld zijn, begint de download van de ransomware. Daarna versleutelt Locky bestanden en verandert het bestandsnamen. Naast bestanden op de lokale computer, zoekt de ransomware ook naar bestanden op netwerkstations, ook als deze niet gekoppeld zijn. Om de sleutel te krijgen tot de versleutelde bestanden, wordt mensen gesommeerd een halve bitcoin te betalen.
Op deze manier zijn al bestanden bij verschillende organisaties binnen hele netwerken versleuteld. Er heeft zich onder andere een infectie voorgedaan bij het Fraunhofer-Institut in Duitsland, waar ongeveer zestig pc's in het netwerk zijn platgelegd. Ook werd het West-Australische parlement platgelegd door de ransomware.
Het probleem met Locky zit volgens beveiligingsonderzoeker Kevin Beaumont niet alleen in het feit dat het vrij lang duurde voordat de meeste virusscanners de trojan detecteerden, maar ook dat het snel van signatuur verandert. Zo schrijft hij vrijdag op Twitter dat het mechanisme is veranderd. De .js-file wordt op dit moment nog door geen enkele virusscanner gedetecteerd.
De ransomware verscheen maandag, wat volgens Beaumont feitelijk de bètatest was. Locky is vertaald in veel verschillende talen, wat laat zien dat de aanval van te voren goed uitgedacht is. Tweaker fvdberg doet in een tweakblog uit de doeken welke registeraanpassingen de ransomware allemaal doet. Er zijn ook Nederlandse bedrijven al slachtoffer geworden, zo is te lezen op het aan de ransomware gewijde topic op GoT. Er zijn relatief veel infecties in Duitsland en Nederland.
Tweakers.net