News und Fakten

Willkommen bei unserem Blog

locky-erpresser-virus
Mai
19

Locky Virus kommt auch ohne E-Mail 

Posted 19. Mai 2016 by in Allgemein

Der Erpresser Trojaner „Locky“ kommt nicht immer nur per E-Mail

Sicherheitsforscher von Google und FireEye haben jetzt eine verheerende Sicherheitslücke im Adobe Flashplayer entdeckt über die der Verschlüsselungstrojaner in Windows Computer einbricht. Bislang war die Verbreitung vom Erpresser-Trojaner auf gefälschte oder manipulierte E-Mails mit einem speziellen Anhang zurückzuführen. Doch es wurden auch von vielen Webseiten berichtet, die an der Verbreitung des Virus beteiligt sind.

Viele infizierte Webseiten verteilen Locky

In der neusten Variante schickt Locky ein kleines Spionage-Tool voraus, der in der Lage ist das Netzwerk von Innen heraus zu öffnen, damit sich der Trojaner selbst Zugang verschaffen kann. Im Unterschied zu „alten Version“ wird also keine E-Mail mehr versendet in der der Link zur „bösen Website“ enthalten ist.

Als großes Einfallstor scheint der Locky eine Sicherheitslücke im Flashplayer auszunutzen, um sich Zugriff auf den heimischen PC oder Mac zu verschaffen. Adobe hat direkt mit einem „Notfallpatch“ reagiert und stellt diesen auf seiner Webseite, kostenlos zum Download bereit. Auch der gefährliche Cerber Trojaner nutzt diese Sicherheitslücke im Adobe Flashplayer aus um Computer beim Besuch einer Webseite umgehend zu infizieren.

Damit steigt die Gefahr und das Verbreitungstempo dieser Erpresser-Trojaner rapide an, den der beliebte Flashplayer gehört sozusagen zur Grundausstattung und ist auf fast jedem PC-System zu finden. Alle Flash Player Versionen bis einschließlich 21.00.197 (unter Windows) und 18.0.0.33 (Windows und OS X) sowie unter Linux 11.2.202.577, sind von dem Sicherheitsleck betroffen und bieten Locky und Cerber die Chance das System zu infizieren.

Unbemerkt und Gefährlich

Meist bemerkt der Nutzer überhaupt nicht, das er sich einen Verschlüsselungstrojaner von einer Internetseite heruntergeladen hat. Diese Aktion dauert nur wenige Sekunden und geschieht vollkommen im Hintergrund. Der Nutzer bemerkt es erst wenn es bereits zu spät ist und Locky sich im System bereits eingenistet hat und seine Aufagbe „die Verschlüsselung aller Daten“ beginnt.

locky virus trojanerAufhalten läßt sich diese Aktion dann meistens auch nicht mehr, da dieser Vorgang innerhalb weniger Minuten abgeschlossen ist. Nach nur wenigen Augenblicken sind sämtliche Daten, ich meine ALLE WICHTIGEN DATEN unbrauchbar und auch nicht mehr zu retten.

Ist Locky erst einmal aktiv sind in wenigen Minuten alle Dokumente, Bilder, Tabellen, Texte und E-Mails – also alles was dem Benutzer wichtig ist – verloren (bzw.verschlüsselt) und es besteht sofort Gefahr das auch die anderen Computer, Server, Netzwerkfestplatten oder Macs im Netzwerk auch infiziert werden.

Um diese Gefahren zu vermeiden ist kaum ein Kraut gewachsen, nur mit schweren Geschützen, wie speziellen Firewall-Boxen die mit einem ATP-Blocker den gesamten Netzwerkverkehr zwischen Internet und dem lokalen Netzwerk analysieren. Aus finanzieller Sicht ist der Einsatz einer Fire-Box allerdings eher etwas für Firmen und Betriebe, da Privatpersonen diese Investition meistens scheuen.

Wie bemerke ich ob ich bereits infiziert bin?

Im ersten Moment fühlt es sich an, als sei der Computer abgestürtzt oder eingefroren. Es erscheint ein gefürchteter BSD (Bluescreen) oder der PC wirkt wie eingefroren. Erst nach dem Neustart kann Locky seine eigentliche Arbeit fortsetzen und mit der Verschlüsselung der Daten beginnen.

Am Besten wäre es es den PC nicht mehr neu zu starten und sofort den ITService oder anderen Fachmann anzurufen um die Gefahr eindämmen zu können.

Virenschutzprogramm aktuell halten

Die erste Möglichkeit um sich vor dem Trojaner Angriff zu schützen, ist das Betriebssystem und auch den Virenschutz immer aktuell zu halten und regelmäßige Offline-Backups durchzuführen.

Allerdings wird dadurch das Risiko einer Infektion nicht ausgeschlossen, aber zumindest etwas eingedämmt.

Das die Gefahr durch Ransomware immer weiter steigt, zeigen die aktuellen Meldungen über infizierte Windows-Systeme. Fast im Tagesrythmus kommen Kunden mit infizierten Computer zu uns in die PC-Werkstatt und sind sich sicher, auf keine „gefährliche“ oder „böse“ E-Mail geklickt zu haben. Das will ich gerne glauben, den die Anzahl der gekapperten Webseiten steigt im Minutentakt, bedrohlich an.

Leider ist es kaum erkennbar, ob eine Webseite infiziert wurde – denn der Driveby-Download startet im Hintergrund und wird oftmals ohne weitere Warnungen oder Meldungen ausgeführt. Hier bleibt nur zu Hoffen, das der Virenscanner schnell Alarm schlägt, wenn er den Download im Hintergrund bemerkt. Wie so ein „Locky-Angriff“ funktioniert haben wir in unserem letzten Webinar (bei Youtube) ausführlich dargestellt

weiterführende Links zum Thema Rasomware

Tags: locky / trojaner / virus
Erfahrungen & Bewertungen zu ITService Dortmund