News und Fakten

Willkommen bei unserem Blog

Locky Erpresser Virus
Mrz
05

Ransomware Locky – Verschlüsselungs-Trojaner 

Posted 5. März 2016 by in Allgemein

Große Sorgen bereitet derzeit der Verschlüsselungstrojaner Locky den deutschen Internetbesuchern

Deutschland steht bereits auf Platz 3 der am meisten infizierten Geräten. Mit mehr als 50.000 neuen Infizierungen pro Tag bricht die Welle an Cyberkriminalität über Deutschland herein. Leider können auch nicht alle Virenscanner jeden Schädling tatsächlich entdecken und somit findet der Trojaner oft einen Weg auf den PC.

Mittlerweile gibt es von der Ransomware -Locky – schon 60 Modifikationen und die Hersteller von Antivirenschutz-Software haben alle Mühe die täglich veränderten Signaturen des bösartigen Trojaners, schnell genug in Ihre Erkennungsmethoden einzubauen.

Alle Fakten zum Erpresser Virus Locky und wie Sie sich davor aktiv schützen können – erfahren Sie in unserer großen Titelstory „Ransomware – Locky verbreitet sich rasant in Deutschland“ (der link befindet sich ganz unten auf dieser Seite)

Locky ! – Top Verbreitung per E-Mail

locky-virus-überrollt DeutschlandNach wie vor nutzt Locky insbesondere zwei Angriffsvektoren:

Locky gelangt über gefälschte Rechnungen im E-Mail-Anhang auf den Rechner. Sobald das der E-Mail angehängte Dokument geöffnet wird, wird die Schadsoftware aus dem Internet nachgeladen – sofern die für die Infizierung nötigen Makros aktiviert sind.

Daneben kennt man bei Kaspersky Lab auch schon legitime Internetseiten, auf denen die Locky-Schadsoftware platziert wurde. Besucht ein Nutzer – mit entsprechenden Software-Schwachstellen oder nicht aktuellem Virenscanner auf seinem Rechner – eine entsprechende Seite, versucht Locky sich automatisch auf diesem Rechner zu installieren.

Der Besucher bekommt davon meistens überhaupt nichts mit und bemerkt die Infektion erst dann wenn plötzlich keine Bilder oder Dokumente mehr zu Öffnen sind und eine Warnmeldung auf dem PC-Bildschirm erscheint, die eine Lösegeldforderung anzeigt.

mit unserer Checkliste zum Ausdrucken „Checkliste Phishing Mail“ erkennen Sie in Zukunft auch die gefälschten und gefährlichen E-Mails

Neue Varianten von Locky

In neueren Versionen tarnt sich Locky auch als Fax- oder Scanner-Benachrichtigung. Sobald Locky einen Weg auf den infizierten Rechner gefunden hat, startet der Trojaner seine Verschlüsselungsaktivitäten und fordert im Anschluss von den Opfern ein Lösegeld, damit diese „angeblich“ wieder auf Ihre Daten zugreifen können.

Marco Preuss, Leiter des europäischen Forschungs- und Entwicklungsteams von Kaspersky Lab sagt: „Die Kriminellen hinter Locky versuchen derzeit aus der Erpressersoftware alles rauszuholen und größtmöglichen Profit zu erzielen“ „Locky ist kein ‚Kinderfasching‘, hier hat jemand viel kriminelle Energie investiert.“

2016 wird das Jahr der „Ransomware“!

Verschlüsselungstrojaner oder Erpresser Virus sind keine ganz neues Phänomän, wir erinnern uns noch an den Coinvault oder Teslascript, wo es auch darum ging, die Daten gegen die Zahlung eines Lösegeldes wieder freizugeben.

Auch Android Nutzer müßen sich 2016 intensiver mit den Ransom-Attaken befassen und für entsprechende Schutzmaßnahmen sorgen. Im Jahr 2015 richtete sich bereits jede 6. Ransom-Attake gegen Handy und Tablet Nutzer mit ANDROID.

Locky setzt diesen Trend aktuell fort, allein im Februar 2016 wurden genau soviel Angriffe gezählt wie in den vergangen 5 Monaten. Mit einer Steigerung ist in jedem Falle noch zu rechnen. Weltweit liegt Deutschland auf Platz 3, dierekt hinter Rußland und Indien.

Sicherheits Tipps vom Experten

Skepsis und Vorsicht ist jetzt angebracht

Um sich vor den gefürchteten Ransomware zu schützen empfehlen wir folgende Sicherheitsmaßnahmen zu beachten:

  • Vorsicht bei E-Mail Anhängen:
    Sie sollten bei E-Mail s mit Anhängen – insbesondere Word und Excel oder Zip-Archive – sehr kritisch sein. Im Besten Fall löschen Sie die Nachricht sofort und öffnen unter keinen Umständen den Anhang.
  • Seien Sie kritisch auch bei Feunden
    Bei E-Mails von fremden Personen sollten Sie auch die Word oder Excel Anhänge nicht öffnen und einer strengen „Plausibilitäts-Prüfung unterziehen.
  • Lieferstatus und Rechnung per E-Mail?
    Gleiches sollten Sie auch bei angeblichen Rechnungen oder angeblichen Problemen mit einer Lieferung von unbekannten Firmen machen. E-Mails und Angaebote werden üblichweise im sicheren PDF-Format versendet und bestimmt nicht als Office-Dokument.
  • Software aktuell halten
    Betriebssystem und Browser und alle anderen wichtigen Programme – dazu zählt auch das Office und Outlook – sollten stets aktuell gehalten werden und die Sicherheitsupdates des Herstellers rechtzeitig eingespielt werden.
  • Windows und Office 
    Sollten Sie noch keine Zeit für den Wechsel von Ihrem Windows-XP System gefunden haben, wäre jetzt ein guter Zeitpunkt das Betriebssystem auf die neue und sichere Version Windows 10, umzustellen. Ebenfalls sollten Sie ein Microsoft Office 2003 auch nicht mehr einsetzen und unbedingt auf eine aktuelle Version umsteigen.
  • akueller Virenschutz ist Pflicht!
    ein abgelaufener und schlecht programmierter Virenscanner bietet dem Verschlüsselungstrojaner und anderer Schadsoftware einen Zugang zu Ihrem System.
    Deshalb sollten Sie Ihren Virenschutz immer aktuell halten und die Updates (geht meist automatisch bei einer Internetverbindung) schnellstmöglich einspielen.
    Verlangen Sie nicht von einem kostenlosen Scanner den gleichen Schutz wie Sie en von einer „bezahlten“ Software bekommen.
  • kein Lösegeld bezahlen
    Zahlen Sie unter keinen Umständen die Lösegeldforderung und folgen Sie auch nicht dem angebotenten link ins „Dark-Web“ um die Zahlungskonditionen auszuhandeln.
    Bisher ist noch vollkommen unklar ob die Hacker auch wirklich in der Lage sind, die Verschlüsselung rückgangig zu machen.In einer der letzten Varianten der Verschlüsselungtrojaner war es selbst dem Hacker nicht mehr möglich die „verschlüsselten Dateien“ wieder zu entsperren, da der Schlüssel vorsorglich gelöscht wurde. In der Regel hat man das Lösegeld dann zu m Fenster herausgeworfen und die Daten bleiben mit einer AES 256Bit-Verschlüsselung für den User unbrauchbar.

Auch das Bundesamt für Sicherheit (BSI) warnt derzeit vor den Cyberaktivisten und bietet um Mithilfe bei den Ermittlungen. Bildschrim fotografieren und bei der Polizei Strafanzeige stellen.

Eine Checkliste (zum Ausdrucken) zum schnellen Erkennen von gefälschten E-Mails und gefährlichen Phishing-Mails finden Sie im 2 Teil unserer Titelstory (ganz unten auf der Seite)

BSI Warnung und Informationen zu Locky

So zeigt sich der Locky-Virus

Mit mehr als 5.000 Neu-Infektionen pro Tag ist dieser Vrius bereits eine Seuche die nun auch in Deutschland angekommen ist.

  • Locky verschlüsselt zuersteinmal den betroffenen Rechner und versucht gleichzeitig, weitere im Netzwerk befindlichen Computersysteme zu befallen
  • die „Eigenen Dateien“ lassen sich anschließend nicht mehr öffnen, da diese mit einer AES (256Bit) Verschlüsselung versehen sind, das erkennt man dann an der Dateiendung „.locky“
  • Der Locky-Trojaner versteckt sich in vielen Dateien, nicht nur in Word-Dateien, sondern auch in PDF oder Musikdateien, angeblich sind es schon mehr als 150 Dateiendungen
  • Eine Erpresser-Datei wird – natürlich – unverschlüsselt im System abgelegt, damit der Benutzer die Webseite des Erpressers im Darknet über das „TOR-Netzwerk“ aufrufen kann
  • Dort befinden sich dann auch die Zahlungsanweisungen, die meist über die virtuelle Währung von Bitcoins getätigt werden müßen
    Bitcoin Lösegeldforderung
  • Laut Heise soll diesmal das ausgelieferte „Entschlüsselungstool“ wirklich die Daten wieder lesbar machen, das war dem dem BKA-Trojaner noch etwas anders.
  • Trotz Lösegeldzahlung und vermeintlichen Zugriff auf die eigenen Dateien, ist im Anschluß der digitale Erpresser und viele weitere Schadsoftware noch immer im PC-System des Anwenders und kann jederzeit seine Arbeit von vorne beginnen. Ganz nach dem Motto – Wer einmal Lösegeld gezahlt hat – der wird das vielleicht auch ein zweites Mal machen.
  • Die Entschlüsselung mit dem erkauften Tool funktioniert – wenn überhaupt – nur auf dem eigenen PC nd kann auch nicht an betroffene Freunde und Kollegen weitergeben werden um etwas Lösegeld zu sparen.
    Zu diesem Zweck nutzt der Cybererpresser für jeden infizierten PC eine eigene ID (Kennung)
  • Sollten in einem Heimnetzwerk oder sogar im Firmennetzwerk gleich mehrere Computer oder Laptops oder Handys infiziert sein, so müßte auch für jeden Einzelnen PC die entsprechende Lösegeldforderung bezahlt werden.
  • Nicht nur das Bundesamt für Sicherheit, sondern auch die Polizei, empfehlen die Lösegeldforderung nicht zu bezahlen, da eine Säuberung des System nicht gewährleistet sei und der Zugriff auf die verschlüsselten Daten ungewiss ist.

Wenn Sie doch schon Lösegeld bezahlt haben !


So arbeitet der Locky-Virus

Eine vermeintlich harmlose und durchaus professinell aussehende E-Mail mit angehängter Word oder PDF-Datei landet im Posteingang und verleitet den Benutzer zum Öffnen der Anlage.

Sobald das geschehen ist, wird Locky aktiv und sucht im Computer und den verbundenen Netzlaufwerden nach bekannten Dateitypen, die er im Anschluss dann verschlüsseln wird. Für den Verschlüsselungsprozess nutzt der Erpresservirus die Windows eigene CryptoAPI, damit ist die Verschlüsselung stets aktuell und auf jedem System lauffähig, egal ob XP, Vista, Windows 7, 8 oder 10. Auch auf sämtlichen Windows Server ist der Virus lauffähig.

Dateien die das Windows-System zum Starten benötigt, werden nicht angerührt, da der Benutzer sonst das Erpresserschreiben nicht lesen könnte und der Cyberdieb leer ausgehen würde. Der Virus beginnt nun mit der Verschlüsselung der Bilder, Videos, Office-Dateien usw. und lädt zur Sicherheit noch einige andere Schadsoftware auf das System. Nur für den Fall dass der Benutzer die Verschlüsselung abbricht, oder der Virus irgendwie vom Virenscanner gestoppt wird.

Sollte der Benutzer oder auch das Virenschutz-Programm die verdächtigen Aktivitäten bemerkt haben ( das können im Augenblick (März 2016) nur die wenigsten AV-Programme erkennen) und eine Möglichkeit gefunden haben, den Virus bei seiner Aufgabe zu hindern, wird das System es einfach in ein paar Tagen erneut versuchen. Dazu hat es schon ausreichend Schadsoftware und Backdoor-Files nachgeladen und fleißig im System versteckt.

Locky entfernen ist schwer möglich

Ist das System erst einmal infiziert, ist das bloße Entfernen des Virus leider keine wirkliche Hilfe. Den die Verschlüsselug ist schon durchgeführt worden und das Trojanerprgramm ist jetzt sowiso überflüßig und wird auch nicht mehr gebraucht. Das Löschen des Trojaners würde also lediglich die Ursache, jedoch nicht die Auswirkung oder die Sympthome beheben.

Im Augenblick arbeiten die Antivirenhersteller bereits an einer Lösung und experementieren ein bischen herum. Allerdings scheitern Sie ebenso wie auch die Geheimdienste oft an der starken Verschlüsselung, den mitunter nutzt der Locky-Virus sogar eine RSA 2.048 Bit Verschlüsselung-Technologie.

Vorbeugen ist die einzige Lösung

Das Zahlen der Lösegeldforderung bringt leider keine Garantie auf Erfolg, selbst wenn die Cyberkriminellen gefasst und verhaftet werden sollten ist es sehr zweifelhaft ob die Welt dann ein Allround-Entschlüsselung-Programm von den Behörden bekommt. (ich denke mal eher nicht)

Hier hilft nur sein Betriebssystem immer aktuell zu halten, einen ordentlichen Virenschutz und Sicherheitssystem zu installieren und regelmäßig ein Backup der wichtigsten Daten durchzuführen. Das spart auf die Dauer viel Zeit und enorme Kosten.

Verlassen Sie sich nicht auf vollmundige Versprechungen von kostenlosen Virenschutzprogrammen, sondern nutzen Sie die Möglichkeiten wie Sie auch von den Profis angewendet werden.

jetzt Backup Aktions-Bundle sichern

Nutzen Sie unsere attraktiven Backup-Angebote

wir erstellen automatische Sicherung und liefern die Backupfestplatte gleich mit

novastore-backup-service-partnerSie erhalten von uns ein ausgezeichnetes und leicht zu bedienendes Backup-Programm mit dem Ihre wichtigen Daten und auf Wunsch der komplette PC oder Notebook regelmäßig vollautomatisch gesichert wird.

Wir übernehmen die Einrichtung und zeigen Ihnen wie Sie mit ein paar Klicks Ihren Daten vor Verlust, Verschlüsselung oder anderen Defekten sichern können.

Als Partner von Novastor bieten wir Ihnen eine erstklassige Sicherungssoftware aus Deutschland – mit dem Motto – Backup ganz einfach wie für mich gemacht! und liefern Ihnen sogar noch die passende Sicherungsfestplatte mit dazu.

CHECKLISTE
Phishing Mail

Checkliste Phishing Mail zum Ausdrucken finden Sie in Teil 2

MEHR INFORMATIONEN

wir beraten Sie direkt wie Sie sich schützen können
0231 – 7 763 753

 

Tags: bsi / erpressung / locky / trojaner / verschlüsselungstrojaner
Erfahrungen & Bewertungen zu ITService Dortmund