Schutzmaßnahmen für Verschlüsselungstrojaner (Locky-Virus)

Locky: Erkältung, Grippe oder doch ein Virus?

Verschlüsselungstrojaner sind auf dem Vormarsch – der Locky-Virus. PLUS: empfohlene Schutzmaßnahmen

Dieser Artikel befasst sich mit dem aktuell rasant verbreiteten Virus namens Locky, erklärt dessen Funktionsweise und zeigt Schutzmaßnahmen auf.

Derzeit grassiert eine sehr heftige Angriffswelle von Schadsoftware im Netz. In den letzten Tagen wurden Zigtausende Rechner von Unternehmen und Privatanwendern infiziert. Das Gemeine an dieser Schadsoftware (Ransomware = deutsche Bezeichnung Erpressungstrojaner) ist, dass er, nachdem er sich auf einem Rechner installieren konnte, jegliche Daten verschlüsselt und umbenennt.

Die aktuellste und derzeit bekannteste Version ist der sogenannte Locky-Virus.


Der Locky-Virus verschlüsselt nicht nur den Rechner mit allen Dateien, sondern auch sämtliche Netzwerklaufwerke, andere im Netzwerk befindliche Rechner, USB-Festplatten oder -Sticks. Aufgrund der verwendeten Verschlüsselung (RSA und AES) wird es nicht möglich sein, diese Daten wiederherzustellen. Einzige Lösung, um wieder an seine Daten zu kommen, wird die Zahlung des Lösegeldes sein. Oder ein gutes Backup, sofern dieses nicht auch schon verschlüsselt worden ist.

Wiederherstellung der Daten

Vielleicht hat man auch Glück und es wird in der Verschlüsselungstechnologie ein Sicherheitsleck gefunden, damit könnte dann zu einem späteren Zeitpunkt eine Wiederherstellung der Daten möglich sein. Dies ist aktuell beim TeslaCrypt 2 Trojaner gelungen. Nur darauf verlassen sollte man sich nicht. Aber es kann sich lohnen, die verschlüsselten Daten aufzuheben.

Locky-Virus: Schutzmaßnahmen für Verschlüsselungstrojaner | Foto: LEEROY.ca
Locky-Virus: Schutzmaßnahmen für Verschlüsselungstrojaner

Wie kann man sich vor dem Locky-Virus schützen?

Mittlerweile haben die Hersteller von Antivirenlösungen auf diesen Locky-Trojaner reagiert und sofern man eine aktuelle Version seines Scanners einsetzt, ist man vor dieser Variante des Schädlings meistens geschützt. Da die Gegenseite leider nicht schläft, wurden der Schadcode entsprechend mehrfach angepasst und neue Versionen dieses Trojaners auf die Reise geschickt.

Deshalb rate ich allen ausdrücklich zur Vorsicht, nicht nur in der Firma, sondern auch für zu Hause.

Dort werden die Schutzmaßnahmen sicherlich nicht immer im Detail so genau geprüft wie im Unternehmensbereich. Der Locky-Trojaner wird hauptsächlich über E-Mails verteilt, mittlerweile sind aber auch einige infizierte Webseiten bekannt geworden. Hierbei wird lediglich durch das Aktivieren der Word Makros der eigentliche Schadcode aus dem Internet nachgeladen und auf dem Rechner installiert. Bei den infizierten Webseiten sind Java Scripte ursächlich für das Nachladen des Trojaners.

Versand von E-Mails im Namen des BKA

Seit einigen Tagen werden nun außerdem vermehrt Mails im Namen des BKA verschickt, in dessen Anhang sich angeblich ein Sicherheitstool befindet, mit dem man sich vor dem Locky-Virus schützen kann. Leider ist das ein Irrtum und nur eine weitere Masche der Kriminellen, um ihre Programme auf den Rechnern der Anwender zu platzieren. Dem Einfallsreichtum dieser Gangster gilt es, mit ständig erhöhter Aufmerksamkeit zu entgegnen.

Das erfolgreiche Zusammenspiel verschiedener Produkte

Hier bei BWH konnte mehrfach festgestellt werden, wie dieser Versuch des Nachladens vorgenommen worden ist. Ohne Werbung machen zu wollen für eine bestimmte Produktreihe, konnten wir durch unsere Watchguard Firewall mit den GAV-Services und einem APT Blocker im Zusammenspiel mit unserer eingesetzten TrendMicroTM Viren-Scanner-Lösung bislang erfolgreich gegen diese Bedrohung ankämpfen.

Diese Kombination hat bislang hervorragende Arbeit geleistet. Zudem kann man im Unternehmensumfeld sein Storage (Speichermedien im IT-Umfeld) vor Ransomware abschotten, indem man die bekannten Dateiendungen der Verschlüsselungstrojaner verbietet.

Über 99 Prozent der Angriffe wurden damit im Vorfeld abgewehrt.

Die letzte Gefechtsreihe sind aber immer noch die Kolleginnen und Kollegen, die direkt vor dem PC sitzen.

Empfohlene Vorsichtsmaßnahmen im Überblick:

  • Im Unternehmensumfeld unbedingt eine Firewall mit Security Services einsetzen, ein APT Blocker ist meines Erachtens zudem fast unerlässlich  (Advanced Persistent Threats). Dieser erkennt nahezu in Echtzeit Bedrohungen und Schadpotenzial und bietet einen Sofortschutz auch für Zero-Day-Attacken und Maleware.
  • Sofern möglich Abschotten des Storage Systems gegen Ransomsoftware (bekannte Dateiendungen verbieten).
  • Auf aktuelle Sicherheitsupdates vom Betriebssystem und der eingesetzten Antivirensoftware achten, am besten eine einsetzen mit Verhaltenserkennung, z.B. Office Scan von TrendMicroTM.
  • Keine Anhänge von unbekannten Empfängern öffnen, vor allem keine Word-, Excel- oder ZIP- Dateien, die nicht eindeutig zuzuordnen sind.
  • Die neuen Bedrohungen sind teilweise in sehr gutem Deutsch verfasst, teilweise mit persönlicher Anrede und scheinbar bekannten Absendern – auch oft mit falschen Namen eingeliefert –  wie z.B. admin@ oder buchhaltung@ usw. – Lieber einmal mehr schauen, als einmal zu viel klicken.
  • Seit Neuestem werden FAX-Mails mit schadhaften Anhang verschickt.


Auch das beste System kann Sicherheitslücken oder Fehler haben.

Deshalb ein letzter Tipp: immer auf ein aktuelles Backup achten und beim privaten Rechner das Backup anschließend vom Rechner physikalisch trennen.

Sometimes paranoia is a good thing!

Der Virus in Aktion unter: http://winfuture.de/videos/Software/Locky-in-Aktion-So-infiziert-die-Ransomware-ein-Windows-System-15817.html



Was meinen Sie zu diesem Thema?


Ihre Meinung ist uns wichtig! *
*
*
*

* Pflichtangaben; Ihre E-Mail-Adresse wird nicht veröffentlicht.

Keine Kommentare
Ansprechpartner
Über den AutorSteugfan Amrein (s.amreiqmn@fuobw-e6jh.x7euede) ist Systemadministrator bei BWH und beschäftigt sich mit allen Themen rund um die IT-Welt. Er ist begeisterter Freizeitsportler und Bibelforscher.
Ansprechpartner
Über den AutorSteugfan Amrein (s.amreiqmn@fuobw-e6jh.x7euede) ist Systemadministrator bei BWH und beschäftigt sich mit allen Themen rund um die IT-Welt. Er ist begeisterter Freizeitsportler und Bibelforscher.
Seite teilen
  • Facebook
  • Google+
  • Twitter
  • XING
Seite teilen
  • Facebook
  • Google+
  • Twitter
  • XING
Seite teilen
  • Facebook
  • Google+
  • Twitter
  • XING
Newsletter
Bleiben Sie immer auf dem aktuellen Stand mit unserem Newsletter
Jetzt anmelden
Der schnelle Weg zum Ziel
Sprechen Sie mit uns über Ihre Ziele, Wünsche, Ideen.

t  0511 94670-0
f  0511 94670-16
m  info@bw-mnh.ymde+9
Kontakt
Bleiben Sie mit uns über Fachthemen über Druck & Digital Publishing auf dem Laufenden!
Hinweis: Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand des BWH-Newsletters.