Go to Top

ERPRESSUNGSTROJANER „LOCKY“: WAS SIE WISSEN MÜSSEN

„Locky“ klingt zunächst nach einem munter-fluffigen Namen. Doch es ist auch der Kurzname einer neuen Sorte von Ransomware, so bezeichnet weil er alle Ihre wichtigen Dateien umbenennt und mit der Endung „.locky“ versieht.

Selbstverständlich benennt er Ihre Dateien nicht nur um. Er verschlüsselt sie zuerst und, wie Ihnen vermutlich von Ransomware bekannt ist: Nur die Schurken haben den Key zur Entschlüsselung.

Den Decryption Key kann man von den Schergen dann im sogenannten „Dark Web“ kaufen.

Die beobachtete Preisspanne reicht von 0,5 BTC bis 1,0 BTC (BTC steht kurz für Bitcoin, wobei ein Bitcoin momentan bei ungefähr 400$ liegt).

Locky1

Der Weg auf dem Locky am häufigsten auf die Rechner der Opfer gelangt ist folgender:

  • Sie bekommen eine E-Mail mit Dokumentanhang (Troj/DocDl-BCF).
  • Das Dokument sieht nach Amtsdeutsch / Fachchinesisch aus.
  • Das Dokument empfiehlt Ihnen Makros zu aktivieren „falls das dekodieren der Daten fehlerhaft ist.“

Locky2

– Durch das aktivieren der Makros werden allerdings keine Fehler beim dekodieren des Textes korrigiert (das ist ein Trick); stattdessen wird in dem Dokument Code ausgeführt, der eine Datei auf der Festplatte abspeichert und ausführt.

– Die abgelegte Datei (Troj/Ronsam-CGX) dient als Downloader, der die aktuellste Malware Payload von den Schergen „abholt“.

– Die letztlich übertragene Payload könnte alles sein, in diesem Falls jedoch ist es meist die Locky Ransomware (Troj/Ransom-CGW).

Locky verschlüsselt alle Dateien, die mit einer langen Liste von File-Extensions übereinstimmen, einschließlich Videos, Bildern, Quelltext oder Office-Dateien.

Locky verschlüsselt sogar „wallet.dat“, Ihre virtuelle Bitcoin Brieftasche, sofern Sie eine solche haben.

In anderen Worten: Falls sie mehr BTCs in der Bitcoin Brieftasche haben als die Erpresser verlangen und kein Backup zur Hand, ist es sehr wahrscheinlich, dass Sie bezahlen werden. (Sie wissen ja auch bereits wie man neue Bitcoins kauft oder damit bezahlt.)

Locky löscht auch jegliche Volume Snapshot Service (VSS) Dateien, auch bekannt als „shadow copies“, die Sie vielleicht angelegt haben.

Shadow Copies sind die Windows Methode im Hintergrund Live-Backup-Snapshots anzulegen. Sie müssen sich dazu nicht ausloggen oder die Anwendung überhaupt davor schließen, was sie zu einer schnellen und beliebten Alternative zu einer richtigen Backup-Prozedur macht.

Sobald Locky bereit ist sich bei Ihnen für das Lösegeld zu melden, stellt er  sicher, dass Sie folgende Nachricht sehen, indem er Ihren Desktophintergrund ändert:

locky3

Wenn Sie die Dark-Web Seite, die in der Warnnachricht angegeben war besuchen, erhalten Sie Anweisungen zur Bezahlung wie oben gezeigt.

Unglücklicherweise, soweit das momentan einschätzbar ist, gibt es keine einfachen Alternativen um die Daten ohne kürzlich erfolgtes Backup zurückzubekommen.

Zur Erinnerung sei noch erwähnt, dass Locky – wie das Gros der Ransomware-Vertreter – nicht nur Ihr C-Laufwerk verschlüsselt.

Er verschlüsselt alle Dateien in jedem Verzeichnis auf jedem angebundenen Laufwerk auf das er zugreifen kann. Einschließlich Laufwerken die gerade eingesteckt waren, geteilten Netzlaufwerk-Inhalten die zugänglich sind, einschließlich Servern und anderer Leute Computern, unabhängig davon ob sie unter Windows, OS X oder Linux laufen.

Falls Sie als Domain Administrator angemeldet sind und von Ransomware getroffen werden, könnten Sie tatsächlich sehr weitgreifenden Schaden anrichten.

Sich selbst soviel Login-Macht zu geben wie man je brauchen wird ist zwar sehr angenehm, doch tun Sie das bitte nicht.

Loggen Sie sich (oder benutzen „Ausführen als…) mit Admin-Rechten ausschließlich ein, wenn Sie diese wirklich benötigen und treten diese dann schnellstmöglich wieder ab.

Was kann man tun?

  • Regelmäßig Backups anlegen und ein kürzlich erfolgtes Backup extern aufbewahren. Es gibt noch Dutzende andere Wege als Ransomware auf die Daten urplötzlich verschwinden können wie Feuer, Hochwasser, Diebstahl, ein heruntergefallener Laptop oder gar eine unabsichtliche Löschung. Verschlüsseln Sie den Backup-Datenträger und Sie müssen sich auch keine Sorgen mehr machen, dass dieser in falsche Hände fallen könnte.
  • Erlauben sie keine Makros in Dokumentanhängen die Sie per Email empfangen. Microsoft hat per Standard bewusst die Auto-Ausführung von Makros aus Sicherheitsgründen deaktiviert. Viele Malware Angriffe bauen darauf Sie dazu zu überreden diese wieder einzuschalten, also tun Sie das nicht!
  • Seien Sie vorsichtig mit unverlangten Anhängen. Die Schurken bauen auf das Dilemma, dass Sie Dokumente nicht öffnen sollten bis Sie Gewissheit haben, dass es eines ist das Sie wollen, aber nicht wissen ob es eines ist das Sie wollen, bis Sie es geöffnet haben. Im Zweifel: Nicht öffnen.
  • Geben Sie sich selbst nicht mehr Nutzerrechte als notwendig. Am wichtigsten: Bleiben Sie nicht länger als Administrator eingeloggt als unbedingt nötig ist und vermeiden Sie es im Web zu Browsen, Dateien zu öffnen oder anderen üblichen Tätigkeiten nachzugehen solange sie Administrator-Rechte haben.
  • Ziehen Sie in Betracht Microsoft Office Viewers zu installieren. Diese Viewer Applications erlauben es Dokumente zu betrachten, ohne sie in Word oder Excel selbst zu öffnen. Insbesondere unterstützt diese Betrachter-Software keine Makros, sodass Sie diese auch nicht versehentlich aktivieren können.
  • Patch early, patch often! Malware die nicht via einem Dokument bei Ihnen landet, setzt oft auf Sicherheitslücken in beliebten Anwendungen, einschließlich Office, Ihrem Browser, Flash und mehr. Je früher Sie patchen, desto weniger offene Lücken bestehen, die die Halunken ausnutzen können.

One Response to "ERPRESSUNGSTROJANER „LOCKY“: WAS SIE WISSEN MÜSSEN"

  • Andre Fritsche
    4. April 2016 - 21:15 Reply

    Mittlerweile haben sich ja schon Tools dagegen gebildet. Malwarebytes und Bitdefender haben beide bereits Werkzeuge bereitgestellt. Ob sie etwas taugen, bleibt ab zu warten. Ich bin momentan am Testen was das Bitdefender Tool angeht.

    Die Masche funktioniert wohl sehr gut momentan und ein „Aufhören“ ist in absehbarer Zeit glaube ich nicht in Sicht. Es scheint lukrativ zu sein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.