Das Aufkommen der VolkLocker-Ransomware

VolkLocker wurde erstmals im August 2025 identifiziert und ist eine neu entdeckte Ransomware-Variante, die von der pro-russischen Hacktivistengruppe CyberVolk (auch bekannt als GLORIAMIST) betrieben wird. VolkLocker ist als Ransomware-as-a-Service (RaaS)-Angebot konzipiert und zielt sowohl auf Windows- als auch auf Linux-Systeme ab und verschlüsselt Dateien mithilfe starker kryptografischer Routinen. Bemerkenswert ist, dass Sicherheitsforscher einen kritischen Implementierungsfehler aufgedeckt haben, der es betroffenen Opfern ermöglicht, ihre Dateien ohne Zahlung des Lösegelds zu entschlüsseln. Während der Verschlüsselung fügt die Malware eine konfigurierbare Ransomware-Dateierweiterung hinzu, die üblicherweise als „.locked“ oder „.cvolk“ beobachtet wird, wodurch der Zugriff auf kritische Daten effektiv eingeschränkt wird.

Informationen zur „VolkLocker Ransomware“

Technische Eigenschaften und Angriffsablauf

VolkLocker ist in Golang geschrieben, was eine plattformübergreifende Bereitstellung in heterogenen Umgebungen ermöglicht. Nach der Ausführung versucht die Ransomware, Privilegien zu eskalieren und führt eine umfassende Systemerkundung durch, einschließlich der Erkennung virtueller Maschinen und Sandboxes durch MAC-Adressprüfungen, die mit VMware und Oracle VirtualBox verbunden sind. Nach der Validierung der Umgebung listet sie alle verfügbaren Laufwerke auf und verschlüsselt selektiv Dateien basierend auf vordefinierten Ausschlusslisten, um die Systemstabilität zu erhalten.

Zusätzliche Informationen

• VolkLocker verwendet AES-256-Verschlüsselung im Galois/Counter Mode (GCM) und generiert für jede verschlüsselte Datei eine eindeutige Nonce.
• Die Ransomware beinhaltet die Erkennung virtueller Maschinen und Sandboxes, um Sicherheitsforschung und automatisierte Analyseumgebungen zu umgehen.
• Ein schwerwiegender Designfehler führt dazu, dass VolkLocker seinen Master-Verschlüsselungsschlüssel im Klartext in %TEMP%\system_backup.key schreibt, was die kostenlose Dateientschlüsselung ermöglicht, ohne die Angreifer zu kontaktieren.
• Die Malware deaktiviert Sicherheitstools und Wiederherstellungsmechanismen, einschließlich Windows Defender, Task-Manager, Registrierungseditor und Volume Shadow Copies.
• Ein Erzwingungs-Timer löst destruktives Verhalten aus, wenn die Zahlung nicht innerhalb von 48 Stunden erfolgt oder wenn falsche Entschlüsselungsversuche drei Versuche überschreiten, wobei Benutzerordner wie Dokumente, Desktop, Downloads und Bilder gelöscht werden.
• CyberVolk betreibt VolkLocker als kostenpflichtiges RaaS-Angebot über Telegram mit Preisstufen für reine Windows-, reine Linux- oder kombinierte plattformübergreifende Builds.

Fazit

VolkLocker Ransomware verdeutlicht die sich entwickelnde Landschaft von Ransomware-Operationen, insbesondere den wachsenden Fokus auf plattformübergreifende Angriffe und automatisierte RaaS-Ökosysteme. Während die Malware fortschrittliche Techniken wie Sandbox-Evasion, destruktive Erzwingungs-Timer und registerbasierte Persistenz demonstriert, wird ihre Effektivität grundlegend durch einen kritischen kryptografischen Implementierungsfehler untergraben. In vielen Fällen können Opfer verschlüsselte Daten ohne Zahlung eines Lösegelds wiederherstellen, was die Bedeutung einer von Experten geführten Analyse vor der Kontaktaufnahme mit Bedrohungsakteuren unterstreicht.

Als Spezialisten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir wichtige Dienstleistungen wie Ransomware-Wiederherstellungsdienste, Ransomware-Verhandlungsdienste und unseren Incident Response Retainer an. Kontaktieren Sie uns noch heute, um Ihre Daten zu schützen und effektiv auf Ransomware-Vorfälle zu reagieren.

Letzte Aktualisierung: 18. Dezember 2025