Locky Ransomware: Schützen Sie sich vor E-Mail-Bedrohungen

Die Ransomware Locky tauchte 2016 auf und wurde schnell zu einer großen Bedrohung. Sie verschlüsselte Dateien auf dem Computer des Opfers und verlangte dann eine Zahlung in Bitcoin, um sie wieder freizugeben. Auch wenn Locky fast zehn Jahre alt ist, ist es immer noch wichtig zu verstehen, wie sie funktioniert. Es gibt immer noch Varianten davon, alte Infektionen können auf Systemen verbleiben, und die von ihr eingeführten Phishing-Tricks werden auch heute noch von Ransomware-Gruppen verwendet.

Was Locky besonders gefährlich macht, ist seine Verbindung zu der Cyberkriminalitätsgruppe hinter dem Banking-Trojaner Dridex (auch bekannt als Evil Corp oder TA505) und seine massive Verbreitung über das Necurs-Botnetz. Auf dem Höhepunkt seiner Aktivität infizierte die Ransomware Locky weltweit Tausende von Organisationen und verursachte erhebliche Datenverluste und Störungen in Krankenhäusern, Banken und kleinen Unternehmen.

Auch wenn sich die E-Mail-Sicherheitslandschaft heutzutage weiterentwickelt hat, bleiben die von Locky verwendeten Taktiken, darunter gefälschte Absenderadressen, bösartige Anhänge und Social Engineering, weiterhin grundlegend für Ransomware-Angriffe. Starke E-Mail-Sicherheitskontrollen und Authentifizierungsprotokolle sind eine unverzichtbare erste Verteidigungslinie gegen diese Bedrohungen.

Was ist Locky Ransomware?

Locky Ransomware ist eine Art von Krypto-Ransomware, die Dateien auf infizierten Systemen verschlüsselt und sie unzugänglich macht, bis ein Lösegeld gezahlt wird. Im Gegensatz zu Malware, die Daten stiehlt, konzentriert sich Locky ausschließlich auf die Verschlüsselung von Dateien und verwendet starke kryptografische Algorithmen, um Dokumente, Bilder, Datenbanken und Backups zu sperren.

Sobald die Verschlüsselung abgeschlossen ist, verlangt Locky eine Zahlung in Bitcoin, die in der Regel zwischen 0,5 und 1 BTC liegt, und stellt ein Tor-basiertes Zahlungsportal zur Verfügung, über das die Opfer angeblich Entschlüsselungscodes erwerben können. Die Zahlung des Lösegelds bietet jedoch keine Garantie für die Wiederherstellung der Dateien, und Sicherheitsexperten raten allgemein davon ab.

Gesundheitsorganisationen gehörten zu den Hauptzielen von Locky, wobei Krankenhäuser, Arztpraxen und Gesundheitssysteme erhebliche Störungen erlitten. Zu den bekanntesten Fällen gehört das Hollywood Presbyterian Medical Center, das 17.000 US-Dollar in Bitcoin . Die Ransomware macht keinen Unterschied zwischen großen und kleinen Unternehmen, da kleine Unternehmen mit begrenzten Cybersicherheitsressourcen sich als ebenso anfällig erwiesen wie größere Unternehmen.

Locky nutzt mehrere ausgeklügelte Umgehungstechniken, darunter verschleierte JavaScript-Payloads, dynamische Command-and-Control-Serveradressen und schnelle Variantenveröffentlichungen, um die signaturbasierte Erkennung zu umgehen. Dank dieser Methoden blieb es auch dann noch wirksam, als Sicherheitsanbieter ihre Abwehrmaßnahmen aktualisierten.

Wichtige Varianten

Locky entwickelte sich schnell zu vielen Varianten, die jeweils darauf ausgelegt waren, einer Entdeckung zu entgehen und mehr Opfer zu erreichen. Diese Versionen lassen sich hauptsächlich anhand der Dateiendungen identifizieren, die sie hinterlassen:

• .locky – Originalvariante, die im Februar 2016 auf den Markt kam
• .zepto – Veröffentlicht im Juni 2016 mit verbesserten Anti-Analyse-Funktionen
• .odin – Variante vom Oktober 2016 mit RSA- und AES-Verschlüsselung
• .thor – November 2016 mit verbesserter Verschleierung
• .osiris – Dezember 2016 mit aktualisierter C2-Infrastruktur
• .aesir – Variante von Anfang 2017 mit schnelleren Verschlüsselungsroutinen
• .lukitus – 2017 wiederaufgetretene Variante, die über gefälschte Rechnungen verbreitet wurde

Jede Variante wies subtile Änderungen auf, um die Erkennung durch signaturbasierte Antivirenprogramme zu umgehen, während die zentralen Infektions- und Verschlüsselungsmechanismen beibehalten wurden. Der schnelle Release-Zyklus (manchmal wöchentlich) machte es für Sicherheitsanbieter schwierig, mit neuen Samples Schritt zu halten.

Wie Locky Ransomware funktioniert

Das Verständnis des Infektionszyklus von Locky hilft Unternehmen dabei, wirksame Abwehrmaßnahmen für jede Phase der Angriffskette zu entwickeln.

1. Lieferung

Locky gelangt über massive bösartige Spam-Kampagnen in Umlauf, die so gestaltet sind, dass sie wie legitime Geschäftskorrespondenz aussehen. Diese E-Mails geben sich als Rechnungen, Zahlungsbenachrichtigungen, Lieferbelege oder Bestellbestätigungen von bekannten Marken aus.

Anhänge umfassen in der Regel Word-Dokumente (.doc, .docm), Excel-Tabellen (.xls, .xlsm) oder ZIP-Archive mit JavaScript- (.js) oder Visual Basic Script-Dateien (.vbs). Das Necurs-Botnetz verbreitete auf dem Höhepunkt von Locky Millionen dieser E-Mails, wobei Sicherheitsforscher Kampagnen mit mehreren hundert Millionen Nachrichten beobachteten, die die Spamfilter mit ihrer schieren Menge überfordert waren.

Angreifer verwendeten E-Mail-Spoofing, um die Absenderadresse zu fälschen, sodass die Nachrichten so aussahen, als kämen sie von vertrauenswürdigen Kontakten. Ohne geeignete E-Mail-Authentifizierungsprotokolle wie SPF, DKIM und DMARChatten die Empfänger keine zuverlässige Möglichkeit, die Authentizität der Nachrichten zu überprüfen.

2. Makros aktivieren

Wenn Opfer die schädliche Datei öffnen, sehen sie unlesbaren Text und eine Meldung, die sie auffordert, „Makros aktivieren, um den Inhalt anzuzeigen” oder „Bearbeiten aktivieren, um Dokument anzuzeigen”.

Dieser Social-Engineering-Trick nutzt das Vertrauen der Benutzer und ihren Wunsch aus, scheinbar wichtige Geschäftsinformationen anzuzeigen. Microsoft Office deaktiviert Makros aus Sicherheitsgründen standardmäßig, aber die Betreiber von Locky haben überzeugende Köder entwickelt, um Benutzer dazu zu verleiten, sie manuell zu aktivieren.

Sobald Makros aktiviert sind, werden eingebettete Skripte unbemerkt im Hintergrund ausgeführt (oft innerhalb von Millisekunden), bevor Benutzer bemerken, dass etwas nicht stimmt.

3. Malware-Download

Wenn Makros aktiviert sind, kontaktiert das Skript einen Command-and-Control-Server (C2) und lädt die eigentliche Locky-Ransomware herunter. Diese zweistufige Methode hilft Angreifern, einer Entdeckung zu entgehen, da der E-Mail-Anhang nur einen kleinen Downloader enthält und nicht die vollständige Ransomware.

Die C2-Serveradressen ändern sich häufig, manchmal sogar stündlich, was es für Sicherheitstools schwierig macht, sie zu blockieren. Die Entwickler von Locky verwendeten Algorithmen zur Domain-Generierung (DGAs), um Hunderte potenzieller C2-Domains zu erstellen, sodass selbst wenn einige blockiert wurden, andere weiterhin zugänglich blieben.

4. Verschlüsselung

Nach dem Herunterladen beginnt Locky sofort mit der Verschlüsselung von Dateien unter Verwendung einer Kombination aus RSA-2048 (für die Schlüsselverschlüsselung) und AES-128 (für die Dateiverschlüsselung). Dieser hybride Ansatz stellt sicher, dass Dateien ohne den privaten Schlüssel des Angreifers nicht entschlüsselt werden können.

Locky greift verschiedene Dateitypen an, darunter Dokumente (.doc, .pdf, .txt), Bilder (.jpg, .png), Datenbanken (.sql, .mdb), Quellcode (.php, .java) und Backups (.bak). Es verschlüsselt nicht nur lokale Laufwerke, sondern auch zugeordnete Netzwerkfreigaben und angeschlossene externe Speichergeräte.

Nach der Verschlüsselung werden die Dateien mit eindeutigen Kennungen und variantenbezogenen Erweiterungen umbenannt. Beispiel: document.docx zu A4B2C8D1-E5F6-7890-1234-56789ABCDEF0.locky, sodass es ohne den Entschlüsselungscode unmöglich ist, die ursprünglichen Dateinamen zu identifizieren.

5. Lösegeldforderung

Nach Abschluss der Verschlüsselung hinterlegt Locky seine Lösegeldforderung an mehreren Stellen: als Textdateien mit den Namen _Locky_recover_instructions.txt in jedem betroffenen Ordner und als Desktop-Hintergrundbild. Die Nachricht enthält Anweisungen für den Zugriff auf ein Tor-basiertes Zahlungsportal, über das die Opfer angeblich Entschlüsselungscodes erwerben können.

Auf der Zahlungsseite wird in der Regel ein Countdown angezeigt, oft 72 Stunden, und es wird gewarnt, dass der Preis steigen oder Dateien verloren gehen könnten, wenn das Opfer zu lange wartet. Dadurch wird eine künstliche Dringlichkeit erzeugt und die Menschen dazu gedrängt, zu zahlen, bevor sie Hilfe von Sicherheitsexperten in Anspruch nehmen können.

So verhindern Sie Locky-Ransomware

Prävention ist die einzige zuverlässige Verteidigung gegen Locky. Für die meisten Varianten gibt es keine öffentlichen Entschlüsselungsprogramme, was bedeutet, dass verschlüsselte Dateien ohne Backups oder die Zahlung des Lösegelds dauerhaft verloren sind.

Locky frühzeitig zu erkennen ist schwierig, da neuere Versionen schnell laufen und ihren Code verstecken, um herkömmliche Erkennungswerkzeuge zu umgehen. Daher ist Prävention weitaus wichtiger als der Versuch, den Virus zu fangen, nachdem er bereits läuft.

Hier sind wichtige Präventionsmaßnahmen:

• Implementieren Sie E-Mail-Authentifizierungsprotokolle: Setzen Sie SPF, DKIM und DMARC ein, um gefälschte Malspam-Mails zu blockieren, bevor sie in den Posteingang gelangen. PowerDMARC bietet automatisierte Einrichtung, lesbare Berichte und Echtzeit-Bedrohungswarnungen, um die Authentifizierung für Unternehmen jeder Größe zugänglich zu machen.
• Aktivieren Sie erweiterte Spam-Filterung: Verwenden Sie sichere E-Mail-Gateways mit Sandboxing für Anhänge, Link-Umschreibung und Verhaltensanalyse, um bösartige E-Mails abzufangen, die Authentifizierungsprüfungen umgehen.
• Makros standardmäßig deaktivieren: Konfigurieren Sie Microsoft Office so, dass Makros in Dateien aus dem Internet deaktiviert werden und für vertrauenswürdige Makros digitale Signaturen erforderlich sind.
• Regelmäßige Patches installieren: Halten Sie Betriebssysteme, Anwendungen und Sicherheitssoftware mit den neuesten Updates auf dem aktuellen Stand, um bekannte Sicherheitslücken zu schließen.
• Schulen Sie Ihre Mitarbeiter zum Thema Phishing: Bieten Sie regelmäßig Sicherheitsschulungen an, damit Ihre Mitarbeiter lernen, verdächtige E-Mails zu erkennen, unerwartete Anhänge zu vermeiden und niemals Makros in Dokumenten zu aktivieren, die sie nicht erwartet haben.
• Offline-Backups erstellen: Erstellen Sie regelmäßig Offline-Backups wichtiger Daten gemäß der 3-2-1-Regel (drei Kopien, zwei Medientypen, eine externe Speicherung).
• Endpoint-Schutz implementieren: Verwenden Sie seriöse Anti-Malware-Lösungen mit Verhaltensanalyse, Ransomware-spezifischer Erkennung und automatischen Reparaturfunktionen.

Locky ist im Wesentlichen ein über E-Mails verbreiteter Angriffsvektor. Unternehmen, die eine starke E-Mail-Authentifizierung mit Tools wie dem DMARC-Checker von PowerDMARC implementieren, können sich vor Locky schützen. DMARC Checker, SPF Record Checkerund DKIM Checker können ihre Authentifizierungskonfiguration validieren und das Risiko von gefälschten Malspam-Kampagnen erheblich reduzieren.

So entfernen Sie Locky, wenn Sie bereits infiziert sind

Wenn Sie eine Locky-Infektion vermuten, können Sie durch sofortiges Handeln weiteren Schaden verhindern und eine Ausbreitung auf andere Geräte verhindern. Befolgen Sie diese Schritte sorgfältig:

1. Isolieren Sie das infizierte System sofort:Trennen Sie es vom Netzwerk (ziehen Sie das Ethernet-Kabel ab und deaktivieren Sie das WLAN), um zu verhindern, dass Locky auf freigegebene Laufwerke zugreift oder sich auf andere Geräte ausbreitet.
2. Externe Speichergeräte trennen: Entfernen Sie alle USB-Laufwerke, externen Festplatten und zugeordneten Netzwerkfreigaben, um Sicherungsdaten vor Verschlüsselung zu schützen.
3. Verwenden Sie ein sauberes Gerät für Wiederherstellungstools:Laden Sie seriöse Anti-Malware-Software (Malwarebytes, Kaspersky Rescue Disk oder ähnliches) von einem nicht infizierten Computer herunter und übertragen Sie sie über einen sauberen USB-Stick.
4. Im abgesicherten Modus starten:Starten Sie das infizierte System im abgesicherten Modus mit Netzwerkunterstützung neu, um zu verhindern, dass Locky beim Start geladen wird.
5. Führen Sie einen vollständigen Systemscan durch:Führen Sie umfassende Anti-Malware-Scans durch, um ausführbare Dateien, Prozesse und Registrierungseinträge von Locky zu erkennen und zu entfernen.
6. Zahlen Sie kein Lösegeld:Die Zahlung von Lösegeld finanziert kriminelle Machenschaften und bietet keine Garantie für die Wiederherstellung Ihrer Dateien. Viele Opfer, die Lösegeld gezahlt haben, haben nie funktionierende Entschlüsselungscodes erhalten.

Wichtiger Hinweis: Das Entfernen von Locky stoppt die weitere Verschlüsselung und verhindert die Ausbreitung auf andere Systeme, aber es entschlüsselt bereits verschlüsselte Dateien nicht. Für die Wiederherstellung der Dateien sind entweder sichere Backups oder der private Entschlüsselungscode des Angreifers erforderlich (der selbst nach Zahlung selten bereitgestellt wird).

So stellen Sie Ihre Systeme nach einem Locky-Angriff wieder her

Die Wiederherstellung des Systems nach einem Locky-Angriff hängt vollständig davon ab, dass sichere, verifizierte Backups vorhanden sind. Die meisten Locky-Varianten verwenden eine unknackbare Verschlüsselung. In diesem Fall sind verschlüsselte Dateien ohne Backups dauerhaft verloren.

Unternehmen sollten einen strukturierten Wiederherstellungsprozess befolgen, um sich von einem Ransomware-Angriff zu erholen:

1. Überprüfen Sie die Integrität der Sicherungskopien: Vergewissern Sie sich vor der Wiederherstellung, dass die Backups vollständig, unbeschädigt und frei von Ransomware sind (testen Sie die Wiederherstellung zunächst auf einem isolierten System).
2. Wiederherstellung aus Offline-Backups: Verwenden Sie die letzte fehlerfreie Sicherung, die vor dem Auftreten der Infektion erstellt wurde. Priorisieren Sie zunächst geschäftskritische Daten und Systeme.
3. Wiederherstellung kompromittierter Computer: Bei stark infizierten Systemen kann eine vollständige Neuinstallation des Betriebssystems sicherer sein als der Versuch, bestehende Installationen zu bereinigen.
4. Alle Anmeldedaten zurücksetzen: Ändern Sie die Passwörter für alle Benutzerkonten, Dienstkonten und Administratoranmeldedaten. Überprüfen Sie, ob es Anzeichen für unbefugte Zugriffsversuche oder laterale Bewegungen gibt.
5. Verbesserte Sicherheitsrichtlinien implementieren: Bevor Sie Systeme wieder online schalten, sollten Sie die Abwehrmaßnahmen verstärken, um eine erneute Infektion zu verhindern. Dazu gehören E-Mail-Authentifizierung, Endpunktschutz und Netzwerksegmentierung.
6. Überprüfen Sie die E-Mail-Sicherheit: Überprüfen und verbessern Sie die Kontrollen zur E-Mail-Authentifizierung. Stellen Sie sicher, dass SPF, DKIM und DMARC ordnungsgemäß konfiguriert sind, um zu verhindern, dass gefälschte Malspam-E-Mails erneut Benutzer erreichen.

Für die überwiegende Mehrheit der Locky-Varianten gibt es keine öffentlichen Entschlüsselungsprogramme. Sicherheitsforscher veröffentlichen gelegentlich kostenlose Entschlüsselungstools für ältere Ransomware-Varianten, aber die Verschlüsselung von Locky bleibt für die meisten Varianten ungebrochen. Präventions- und Backup-Strategien sind die einzigen zuverlässigen Abwehrmaßnahmen.

Lockys Roadmap für mehr Sicherheit

Die Ransomware „Locky“ ist nach wie vor ein wichtiges Beispiel, um zu verstehen, wie sich Ransomware entwickelt hat und warum mehrschichtige Sicherheit unerlässlich ist. Seit 2017 sind große Locky-Ausbrüche zurückgegangen, aber die damit eingeführten Taktiken, wie die massenhafte Verbreitung von Malspam, Social Engineering über makrofähige Dokumente und aggressive Dateiverschlüsselung, beeinflussen weiterhin moderne Ransomware-Familien.

Die wichtigste Lehre aus Locky ist klar: Prävention durch robuste E-Mail-Sicherheit in Kombination mit Wachsamkeit der Benutzer ist Ihre stärkste Verteidigung. Unternehmen können sich nicht darauf verlassen, Ransomware nach einer Infektion zu erkennen, da zu diesem Zeitpunkt wichtige Dateien möglicherweise bereits verschlüsselt sind.

Die heutigen Sicherheitstools sind viel besser darin, E-Mail-basierte Angriffe zu stoppen. Richtig eingerichtete DMARC-, SPF- und DKIM -Protokolle können gefälschte E-Mails blockieren, die zur Verbreitung von Ransomware wie Locky verwendet werden. KI-gestützte Bedrohungsinformationen, verhaltensbasierte Erkennung und starker Endpunktschutz sorgen für noch mehr Schutz.

PowerDMARC hilft Unternehmen dabei, diese wichtige erste Verteidigungslinie aufzubauen, mit automatisierter DMARC-Implementierung, Echtzeit-Bedrohungswarnungen und fachkundigem Support. Unsere Plattform macht die E-Mail-Authentifizierung für Unternehmen jeder Größe zugänglich und schützt vor Spoofing, Phishing-E-Mailsund Ransomware-Angriffen, bevor die Bedrohungen die Posteingänge Ihrer Benutzer erreichen.

Buchen Sie eine DMARC-Demo und erfahren Sie, wie PowerDMARC Ihre Domains vor Ransomware und anderen E-Mail-basierten Bedrohungen schützen kann.

Häufig gestellte Fragen (FAQs)

Wie entschlüsselt man die Locky-Ransomware?

Die meisten Locky-Varianten verwenden eine unknackbare RSA-2048-Verschlüsselung, für die es keine öffentlichen Entschlüsselungsprogramme gibt. Die einzige zuverlässige Wiederherstellungsmethode ist die Wiederherstellung aus sauberen Offline-Backups.

Wie verbreitet sich die Ransomware Locky auf einem Gerät?

Locky verbreitet sich, wenn Benutzer bösartige E-Mail-Anhänge öffnen und Makros aktivieren, wodurch die ausführbare Ransomware heruntergeladen wird, die Dateien auf lokalen Laufwerken und zugänglichen Netzwerkfreigaben verschlüsselt.

Wie kann ich Ransomware-Angriffe erkennen und vermeiden?

Seien Sie vorsichtig mit E-Mails, die unerwartete Anhänge enthalten, wie überraschende Rechnungen oder Zahlungsaufforderungen, und aktivieren Sie niemals Makros in Dokumenten, die Sie nicht erwartet haben. Überprüfen Sie immer, ob der Absender echt ist, und verwenden Sie verschlüsselte E-Mails , wann immer dies möglich ist.

• Über
• Neueste Beiträge

Ayan Bhuiya

Schichtleiter, Experte für Infrastruktur und E-Mail-Sicherheit bei PowerDMARC

Ayan Bhuiya verfügt über mehr als 13 Jahre Erfahrung im Bereich Cybersicherheit und ist spezialisiert auf Infrastruktur, Geschäftskontinuität, Risikomanagement und E-Mail-Sicherheit. Derzeit ist er als Shift Lead bei PowerDMARC tätig. Er hat ein Postgraduierten-Diplom in Netzwerken und Sicherheit und verfügt über eine nachgewiesene Erfolgsbilanz bei der Leitung strategischer Sicherheitsinitiativen zur Abschwächung von Bedrohungen und zur Gewährleistung der Widerstandsfähigkeit von Unternehmen.

Neueste Beiträge von Ayan Bhuiya (alle anzeigen)

• Microsoft-Fehlercodes erklärt: Arten, Lösungen und Leitfaden zur Fehlerbehebung – 22. April 2026
• 6 Wege, wie eine Verletzung des Datenschutzes die Sicherheit Ihres Unternehmens gefährden kann – 1. April 2026
• NIS2-Richtlinie: Was sie ist, Anforderungen, Fristen und wie man sie einhält – 26. März 2026