Schutzmaßnahmen gegen Locky, TeslaCrypt, Cryptolocker und Co.

Sogenannte Ransomware erfreut sich seit einigen Jahren steigender Beliebtheit. Kurz zusammengefasst handelt es sich dabei um Schadprogramme, welche private Daten auf Computern verschlüsseln und zur Entschlüsselung ein Lösegeld fordern. Aus diesem Grund wird Ransomware oftmals auch als Erpressungs-Trojaner, Verschlüsselungs-Trojaner oder Krypto-Trojaner bezeichnet.

Locky

Seit ca. zwei Wochen ist ein neuer Verschlüsselungs-Trojaner namens Locky aktiv, welcher sehr aggressiv verbreitet wird. Zeitweise lag die Zahl der Neuinfektionen in Deutschland bei über 5.000 pro Stunde. Locky wird fast ausschließlich per E-Mail verbreitet. Oft handelt es sich dabei um erfundene Rechnungen, die als Office-Dokument mit Makro-Code ausgeliefert werden. Erst durch die Ausführung des Makro-Codes wird der eigentliche Trojaner heruntergeladen und ausgeführt, welcher dann als EXE-Datei mit der Verschlüsselung beginnt. Neue Varianten werden allerdings mittlerweile auch als JavaScript-Datei oder Batch-Datei versendet. Locky durchsucht alle angeschlossenen Festplatten, Netzwerkfreigaben und externe Medien und verschlüsselt eine Vielzahl an Dateien. Unter anderem hat es Locky auf Office-Dateien, Bilder, Audio- und Videodateien, Quellcode und Zertifikate abgesehen. Insgesamt verschlüsselt die Ransomware Dateien mit über 150 Endungen. Die verschlüsselten Dateien erhalten kryptische Namen und sind an der Endung “.locky” zu erkennen. Außerdem befindet sich im Ordner eine Datei namens “_Locky_recover_instructions.txt”, die weitere Informationen zum Lösegeld bereithält. Darüber hinaus versucht Locky auch noch sämtliche Schattenkopien zu löschen.

Schutzmaßnahmen

Gegenwärtig gibt es keine Möglichkeit die verschlüsselten Dateien ohne Lösegeld zu retten. Selbst bei einer Lösegeldzahlung ist aber nicht garantiert, dass man anschließend den zur Entschlüsselung benötigten Schlüssel erhält. Aus diesem Grund sollte man so gut es geht vorsorgen. Im besten Fall richtet die Ransomware dann trotz Ausführung keinen oder nur geringen Schaden an.

Folgende Grundsätze sollten immer eingehalten werden:

  • Windows-Benutzer ist kein lokaler Administrator
  • Windows UAC ist aktiviert
  • Windows Firewall ist aktiviert
  • aktueller Virenschutz (Signaturen sind nicht älter als 12 Stunden)
  • aktuelles Betriebssystem (zeitnahe Installation sicherheitsrelevanter Updates)
  • aktuelle Software (insbesondere E-Mail-Client, Browser, Office-Programme, PDF-Reader, Flash und Java)

Speziell im Fall Locky sollten folgende Sicherheitsvorkehrungen getroffen werden:

  • Makros in Microsoft Office deaktivieren oder zumindest so konfigurieren, dass Makros erst nach Rückfrage und nur bei Dokumenten aus vertrauenswürdigen Quellen ausgeführt werden
  • Windows Scripting Host deaktivieren
  • AppLocker (nur bei Enterprise bzw. Ultimate vorhanden) oder Softwareeinschränkungen via Gruppenrichtlinien konfigurieren
  • zweifelhafte Mail-Anhänge auf keinen Fall öffnen (vor allem bei nicht zuordenbaren Rechnungen ist Vorsicht geboten!)
  • regelmäßige Backups der wichtigen Daten anfertigen
  • Backup-Medium nur beim Sichern der Daten verbinden (ansonsten kann Locky auch das Backup verschlüsseln!)

Ist es schon zu spät und Locky hat schon zugeschlagen sollten die verschlüsselten Dateien dennoch behalten werden. Es besteht immer die Hoffnung, dass die Verschlüsselung der Ransomware nach einigen Wochen geknackt wird.

Quellen

  • https://www.frankysweb.de/clients-vor-infektion-mit-ransomware-schuetzen-locky-cryptolocker/
  • http://www.heise.de/security/meldung/Krypto-Trojaner-Locky-Was-tun-gegen-den-Windows-Schaedling-3112408.html
  • http://www.3dcenter.org/artikel/drei-einfache-schutzmassnahmen-gegen-locky

Tobi

Hallo, mein Name ist Tobias und ich habe diesen Blog im April 2009 ins Leben gerufen. Seitdem blogge ich hier über Software, Internet, Windows und andere Themen, die mich interessieren. SSDblog ist mein zweiter Blog, indem es rund um das Thema SSDs geht. Ich würde mich freuen, wenn ihr meinen Feed abonniert oder mir auf Twitter, Facebook, Google+ und Google+ (privat) folgt.

2 Antworten

  1. Didi sagt:

    Besser: Nicht Windows nutzen.

  2. Martin sagt:

    Noch besser: pauschale Aussagen von irgendwelchen Fanboys oder Hatern ignorieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *