Go to Top

Zepto, eine neue Variante der Locky Ransomware aktuell im Umlauf

In den letzten Tagen sind wieder verstärkt E-Mails im Umlauf welche schädliche Anhänge mit sich bringen. Diese Anhänge beinhalten eine neue Variante der Locky Ransomware welche unter dem Namen Zepto bekannt ist. Der Name rührt daher, dass die verschlüsselten Dateien nun die Endung .zepto erhalten. Der Code der Ransomware ist nahezu Identisch zu Locky.

Bisher wurden über die Kampagnen Javascript Anhänge verteilt, welche einen Downloader darstellten und erst auf dem kompromittierten System den eigentlichen Locky Binärcode heruntergeladen haben. Dies hat sich in der aktuellsten Welle von schädlichen E-Mails geändert, hier wird der schädliche Code direkt per E-Mail verteilt.

Uns sind verstärkt e-Mails mit Dateianhängen wie .docm und .zip aufgefallen. Die Zip Datei beinhaltet eine .js (Javascript) Datei welche den schädlichen Code enthält. Diese schädlichen Dateien sind teilweise so aktuell, dass Signaturbasierte Virenscanner davor keinen Schutz bieten.

Wir empfehlen hier die Anwender zu informieren und diese zu sensibilisieren. Bei E-Mails mit Datei Anhängen muss sehr sensibel vorgegangen werden, überprüfen Sie, ob Ihnen der Absender bekannt ist und stellen Sie sich die Frage, ob die E-Mail einen Sinn ergibt: Erwarten Sie von diesem Absender eine solche E-Mail? Erwarten Sie eine E-Mail mit diesem Anhang?
Beachten Sie auch die Dateiendung des Anhangs bevor Sie diesen öffnen. Ausführbare Dateien bzw.  Dateiendungen wie z.B. .js oder .docm führen meist nichts Gutes im Schilde. Im Zweifelsfall kontaktieren Sie Ihre IT-Abteilung und lassen diese die E-Mail bzw. den E-Mail Anhang überprüfen.

Netzwerkadministratoren empfehlen wir über Gateway Lösungen diese E-Mails herauszufiltern um nicht den End-Anwender damit zu konfrontieren. Es empfiehlt sich ebenso eine Blocklist zu pflegen um die Kommunikation des Schädlings zu dessen Command and Control Servern zu unterbinden.

Weitere Informationen zu Locky finden Sie in unserem Blog Eintrag:

ERPRESSUNGSTROJANER „LOCKY“: WAS SIE WISSEN MÜSSEN

One Response to "Zepto, eine neue Variante der Locky Ransomware aktuell im Umlauf"

  • Frederic
    14. November 2016 - 13:37 Reply

    Es gibt immer wieder etwas Neues.

    Vielen Dank für den deutlichen Hinweis.

    Ich schaue bei euch immer wieder gerne rein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.