Seit dem 24.11.2016 kennzeichnet die Erpressungs-Ransomware Locky verschlüsselte Dateien neuerdings mit der Namenserweiterung .zzzzz, warnt das Team des BSI CERT-Bund. Nach den.aesir, .locky, .zepto, .odin, .thor Verschlüsselungen, geht die Entwicklung der Locky-Ransomware-Geschichte weiter.
Zur Zeit werden die E-mails auf englischer Sprache versendet. Es wird vermutet, dass ab nächste Woche auch die deutschsprachige E-mails im Gang gesetzt werden. Die englische E-mail bringt ein ZIP-Archiv Documents Requested.zip mit. Darin enthalten ist ein .vbs-Script („VCurLHC2249.vbs“). Dieses Script lädt von der Domain square100.com/8yneev eine Datei nach und speichert diese mit der Endung .55 und .552 auf dem PC. Als Versender wird eine falsche Firma angegeben oder Macmillan Distribution MDL.
Hat der Virus einen Windows-Rechner infiziert, verschlüsselt er unter anderem private Daten und stellt den Schlüssel erst nach einer Lösegeldzahlung in Aussicht. Aktuell gibt es kein kostenloses Entschlüsselungstool oder Master Schlüssel. Es werden Data Recovery Pro, Shadowexplorer oder Paretologic Health Advisor als mögliche Virusbeseitiger oder auch Daten-Wiederherstellungsprogramme empfohlen.
Die Cyber-Verbrecher verschicken aktuell im Namen von Telekommunikationsanbietern gefälschte E-mails, mit gefährlichem Dateianhang. Im Anhang befinde sich ein Zip-Archiv, in dem eine ausführbare JS-Datei stecke. Das JavaScript lädt von unterschiedlichen Domains jeweils eine Datei nach und führt diese aus. Die Dateien werden von folgenden Internetseiten nachgeladen und als .DLL Dateien auf Ihrem Rechner abgelegt und gespeichert: nuevarazajeans.com, fodgeslade.com, naschlouey.net, power-logistics.net und decorvise.es. Man soll auf folgende Dateien mit Endungen: .wsf, .js, .hta, .zip, .vbs und .bin achten. Die Verschlüsselung geht sehr schnell und im TOR-Browser wird 2 BitCoin als Lösegeld von Ihnen gefordert.
Sollen Sie wirklich einmal Opfer der .zzzzz Locky Ransomware werden, scheint es fraglich, ob die Cyber-Verbrecher den persönlichen Krypto-Schlüssel überhaupt freigeben. Es gibt ja auch keine Garantie dafür, dass die Erpresser auch tatsächlich ihr Wort halten.

http://www.virus-entferner.de/2016/02/18/locky-virus-beseitigen-und-date...

Virus-Entferner