Tag: trojaner

golden-eye
Dez
09

Golden Eye – Verschlüsselung Trojaner a la James Bond ?

Der neue und wieder überaus gefährliche Cryptoware Trojaner, der mit dem Namen „Golden Eye“  getauft wurde, erinnert lediglich durch seinen Namen an einen erfolgreichen James Bond Film. Vielleicht ist diese Namensgebung auch doch nicht ganz zufällig gewählt, den beide haben noch etwas gemeinsam: das Spionieren und vielleicht bald auch den gleichen Bekanntheitsgrad.

Nachdem die Schlagzeilen um den Aufreger „Locky“ nun immer weniger werden und sich immer mehr AV-Hersteller auf die Erkennung und Abwehr eines Locky-Angriffes bemüht haben, kommt kurz vor dem Weihnachtsfest ein neuer Verschlüsselungstrojaner mit dem Namen „Golden Eye“ nach Deutschland und greift massiv Personaldienstleister und Firmen an.

Dabei geht der Verschlüsselungstrojaner sehr detailverliebt vor, den er tarnt wieder mal sich als Bewerbungsemail und richtet sich gezielt an Personalabteilungen, die ja für Bewerbungen dankbar sind. Die Mail und das Anschreiben ist so sehr überzeugend, das wohl viele Empfänger die „Bewerbung“ unbedingt öffnen wollen und sich innerhalb von wenigen Sekunden den Crypto-Trojaner einfangen der Ihre Daten auf dem Computer verschlüsselt.

Im Anschluss erscheint ein nicht zu übersehender Hinweis darauf, dass die Daten auf dem Computer verschlüsselt wurden und es wird eine Lösegeldforderung angezeigt. Das Lösegeld ist wie in diesen Kreisen üblich dann per Bitcoins über das Darknet zu begleichen. Ob allerdings nach der Zahlung des virtuellen Lösegelds tatsächlich die entführten Daten wieder frei gelassen werden ist noch unklar. Bislang gibt es noch keine Erfolgsmeldungen dazu zu berichten.

Warum  ist der Cryptoware Trojaner Golden Eye so gefährlich

Der Verschlüsselungstrojaner kommt getarnt als sehr gut gestaltete Bewerbungs E-Mail und enthält eine PDF-Datei (Acrobat) und eine xls-Datei (Excel-Tabelle)
Die PDF-Datei ist ungefährlich und überaus überzeugend geschrieben, bis auf ein, zwei Kommafehler stimmt auch die Grammatik und der Aufbau des Anschreibens wirkt so glaubhaft, dass man schnell in die Versuchung kommt, die angehängte Excel-Datei unbedingt ansehen zu wollen.

Gerade Personaldienstleister und Personalabteilungen erhalten täglich viele Bewerbungsmails, sodass es schnell vorkommen kann, das ein unerfahrener Sachbearbeiter die Excel-Datei auch öffnet und die Warnungen über die Gefahr von Makros die von Excel erzeugt werden, einfach ignorieren und den Anweisungen zum Aktivieren der Makros folgen.

Makrofunktion nicht aktivieren

Bei den neueren Microsoft Excel Versionen ist die Bearbeitung der Datei und die Ausführung von Makros bei Dokumenten die aus dem Netz geladen wurden zuerst einmal blockiert und der Benutzer erhält zunächst eine Warnmeldung, bevor ein Makro in einer Excel-Tabelle tatsächlich ausgeführt werden kann. Allerdings haben die Programmierer mit der Neugierde der Menschen gerechnet und in der Excel Datei gleich ein Anweisung hineingeschrieben, worauf der Benutzer den geschützten Modus von Excel verlassen soll und die Bearbeitungsfunktion und Makros aktivieren kann, um die Datei angeblich vollständig lesen zu können.

Genau dieser vertrauensvoll und effektvoll wirkende Anweisung folgen die Meisten Benutzer und starten damit den eigentlichen Verschlüsselung-Angriff von Goldy Eye. Im Hintergrund, während der Benutzer sich die Bewerbung ansieht, führt der Verschlüsselungstrojaner seine Arbeit aus und lädt sofort die benötigten Programmdateien aus dem Internet nach und beginnt mit seiner Arbeit – der Verschlüsselung der Festplatte des Benutzers.

Social Engineering

Da in Falle von Golden Eye die Mails auch sehr oft an die richtigen Mitarbeiter im Unternehmen gerichtet sind und diese zudem auch noch direkt mit dem richtigen Namen angesprochen werden, ist davon auszugehen, dass die Programmierer von Golden Eye irgendwo ein Datenleck nutzen um an die „richtigen Namen und E-Mail Adressen“ zu kommen. Das Arbeitsamt hat diesen Vorwurf erste einmal global zurück gewiesen und behauptet kein Datenleck zu haben. Doch es gibt noch unzählige andere Job-Portale wo die korrekten E-Mail Adressen und Namen gesführt werden und die einen Hackerangriff oder Datenleck vielleicht noch nicht bemerkt haben.

Unter dem Begriff Social Engineering versteht man, dass sich die Angreifer bereits vor dem Angriff über möglichst präzise Details seines Opfers informieren um dann mit den gesammelten Informationen das Vertrauen oder die Glaubwürdigkeit zu untermauern. Im Klartext bedeutet dass, das sämtliche Firmenwebseiten und Portale und Soziale Medien nach Informationen eines potenziellen Opfers durchsucht und gesammelt werden. Ein Datenleck bei einer Arbeitsvermittlung oder Jobbörse wo evt. auch sämtliche Informationen zu potenziellen Opfern enthalten sind, kämme einem Online-Verbrecher da gerade recht.

 

so Schützen Sie sich vor Verschlüsselungstrojaner, wie Golden Eye oder Locky usw.

wir haben das Thema Cryptoware hier einmal für Sie aufebereitet und zeigen wie Sie sich mit ganz einfachen Mitteln vor so einem Angriff schützen können


Online-Banking Sparkasse
Jul
06

Warnung für Online-Banking – neuer Banking-Trojaner

Betrüger hacken Online-Banking-Accounts und gaukeln Ihnen Rückerstattungen vom Finanzamt auf Ihr Bankkonto vor.
Anschließend werden Sie aufgrund einer vermeintlichen „Fehlüberweisung“ aufgefordert, die Summe zurückzuzahlen – allerdings mit fatalen Folgen:

Online Banking gefährdet
Die Landesämter Nordrhein-Westfalen und Rheinland-Pfalz sowie die Sparkasse warnen vor einer neuen Betrugsmasche beim Online-Banking. Dabei knacken Hacker Ihren Bankaccount und täuschen in Ihrem Kontoverkehr auf der Webseite Ihres Bankunternehmens eine Steuerrückzahlung vom Finanzamt vor.

Als Auftraggeber des gefälschten Zahlungseingangs ist in der Saldoübersicht meist der Begriff „Finanzamt“ angeführt, im Verwendungszweck ist zudem von „Steuererstattung“ die Rede. Achten Sie unbedingt auf solche Anomalien in Ihrem Kontoauszug.

Der Trojaner markiert die vermeintlich auf dem Konto eingegangene Zahlung zudem als Fehlüberweisung und fordert den Kunden auf, eine Rücküberweisung durchzuführen. Kommen Sie nun der Aufforderung nach und geben eine Rücküberweisung in Auftrag landet das Geld unmittelbar auf dem Konto der Gangster. Es wurde Ihnen ja nur vorgegaukelt, dass das Geld zuvor auf Ihrem Konto gut geschrieben wurde. Was natürlich nicht stimmt und vollkommener Unsinn ist.

Polizei und Bundeskriminalamt befassen sich bereits mit diesen gerade verstärkt auftretenden schweren Fällen von Betrug, haben von den Tätern aber noch keine Spur. Gefährdet sind alle Bank-Kunden, die mit Ihrem Webbrowser wie Edge, Internet-Explorer, Firefox, Chrome oder Opera Ihre Bankgeschäfte erledigen.

wirksamer Schutz vor Banking Trojaner

Zuerst sollten Sie dafür Sorge tragen, das Sie stets mit einem aktuellen Betriebssystem, wie Windows 7, 8.1 oder Windows 10 arbeiten. Auch beim Mac sollten Sie inzwischen bei El-Captian angelangt sein und Ihren Virenschutz immer aktuell halten. Das wäre schon mal der erste Schritt in Richtung „sicheres Online-Banking“.

Das Sie die E-Mails von Bank, Sparkasse oder vermeintlich „Finanzamt“ immer dreimal prüfen sollten, versteht sich ja wohl von selbst (siehe Locky-Virus)

Der zweite Schritt zur Sicherheit wäre beim Online-Banking auf die „anfälligen Browser“ zu verzichten, da die Hacker die Schwachstellen und Sicherheitslücken gerne für Ihre kriminellen Machenschaften ausnutzen. Verwenden Sie besser ein sicheres und anerkanntes Online-Banking-Programm, wie „Starmoney“, „Wieso Mein Geld“, „DB-Dialog“, oder das hauseigene Sparkassen-Programm „SFirm“.

Da diese Programme eine direkte Verbindung mit dem Bankrechner aufnehmen und nicht den Umweg über den „unsicheren Browser“ nutzen, sind damit schon einmal unzählige Gefahren und Sicherheitsbedenken ausgeräumt.

Sollten Sie in nächster Zeit eine vermeintliche Gutschrift mit dem Hinweis Fehlüberweisung vom Finanzamt in Ihrem Bankaccount finden, sprechen Sie sofort Ihre Bank an und fragen Sie bei Ihrem Finanzamt nach.

Lassen Sie von Ihrer Bank zunächst prüfen, ob das Geld tatsächlich auf Ihrem Konto eingegangen ist und fragen Sie bei Ihrem Finanzamt bezüglich der Korrektheit der Überweisung, nach.

Generell gilt: Veranlassen Sie niemals eine Rücküberweisung, ohne dass sie diese Fragen eindeutig geklärt haben.

unser Service in Dortmund

Sollten Sie Fragen zum Thema „sicheres Online-Banking“ haben, dann sprechen Sie mit unserem Service-Team, wir beraten Sie gerne und unterstützen Sie bei der Installation der Online-Banking-Software auf Ihrem Computer.

Gerne kommt ein technisch versierter Mitarbeiter zu Ihnen nach Hause oder ins Büro und ist Ihnen bei der Auswahl, Installation und Einrichtung Ihres Online-Banking Programm behilflich. Speziel für Unternehmen eignet sich SFirm von der Sparkasse, oder auch das komfortablere Starmoney-Bussines, welches sich auf dem Server und zugleich auf mehren Arbeitsplätzen installieren lässt.

Natürlich steht Ihnen unser kompetentes Beratungsteam auch für Büro- und Firmen-weite Installation mit Rat und Tat zur Seite und überprüft Ihr Netzwerk auf Schwachstellen und gibt Ihnen gerne Tipps zur Verbesserung und Absicherung.


Datenschutz und Datensicherung
Jun
27

„URLZone“ – Banking Trojaner der nächsten Generation

Ein besonders fieser und sehr trickreicher Trojaner nennt sich „URLZone“ und ist extrem gefährlich, da er sich direkt beim Online-Banking einklinkt und den Anwender unbemerkt bestiehlt.

URLZone lauert unbemerkt auf dem PC und lauscht dem kompletten Datenverkehr zwischen Web-Browser und Bankinstitut.

Der Trojaner URLZone gehört zur neuen Generation von gefährlichen Trojaner.

Dabei geht der Trojaner sehr geschickt vor und überweist immer nur kleine Beträge an die Cybermafia und zeigt dem Anwender fingierte Belastunganzeigen, die vom Verdacht ablenken. Die Infektion erfolgt meist über eine Sicherheitslücke im Firefox, Internet Explorer 6-8 und im Opera, durch die z.B. über Javascript, oder eine PDF-Datei eigentlich eine ausführbare Datei auf dem Windows-PC eingeschleust wird.

Da es sich hierbei um einen sogenannten Echtzeit-Trojaner handelt, kann es sogar passieren, das während der Online-Banking Sitzung die Überweisungsdaten ausgetauscht werden und dem Nutzer dann falsche Bankseiten zurück gemeldeltet werden. Dieser Super-Trojaner ist sogar in der Lage zu berechnen, wie viel Geld von einem Konto gestohlen werden kann, ohne dass es sofort auffällt. Durch den Trick des gemässigten Diebstahl fällt er nicht sofort auf und dadurch rden automatische Sicherheitsmaßnahmen der Banken unterlaufen, die auf ungewöhnliche Transaktionen reagieren würden.

Während wir uns bis vor ein paar Jahren meist nur mit schlecht übersetzten Phishing-Mails rumschlagen mussten und einfach die Mails von der Sperrung unseres Bankkontos ignorieren brauchten,  so werden die Attacken der Onlinebetrüger immer ausgefeilter und trickreicher.

Der Trojaner URLZone stammt aus der Ukraine und ist auch unter dem Namen Bebloh bekannt.

Sicheres Online-Banking geht heute nur noch über speziell eingerichtete VPN-Verbindungen und über spezielle Online-Bankingprogramme die die Schwachstellen und Sicherheitslücken der Web-Browser unbeirrt lassen.

Wer noch Fragen zum Thema „Sicheres Online-Banking hat, kann uns gerne ansprechen, wir informieren Sie gerne.


Cerber Verschlüsselungs trojaner
Jun
27

gefälschte Media Markt Rechnung mit Cerber Trojaner

Erst im Frühjahr dieses Jahres ergaunerte sich der Locky-Virus, durch das Verschlüsseln von Daten, mehrere Millionen Dollar.

Steht uns jetzt ein Trojanischer Sommer bevor?

Ganz im Schatten des Crypto-Trojaner Locky wuchs der zweite gefährliche Verschlüsselungs-Trojaner heran. Durch die Verschlüsselung von ganzen Computern forderten die digitalen Erpresser rund 500 US Dollar Lösegeld und hinterließen ungläubige Gesichter.

Mittlerweile hat der Hype um Locky etwas abgenommen, viele Virenscanner sind dem Cybertrojaner bereits auf der Spur und warnen den User, wenn er versucht den Trojaner auf dem PC auszuführen. Doch jetzt haben die Hacker noch mal einen drauf gelegt und einen neuen, verbesserten Verschlüsselungs-Trojaner auf den Weg gebracht. Jetzt steht uns womöglich ein „trojanischer Cerber-Sommer“ in´s Haus.

Gefälschte E-Mails vom Media Markt

Die Cyber-Ganster haben nun einen neuen Weg gefunden um die deutschen Computernetzte anzugreifen. Sie versenden gefälschte E-Mails von Medi-Markt.

Demnach geben diese gefakten Mails vor, dass die Lieferung der Bestellung im Media Markt jetzt zur Auslieferung bereit steht und man könnte die Bestellung stornieren, wenn man auf den „link“ in der E-Mail klickt. Die Webseite die sich dann öffnet gehört natürlich nicht zu Media Markt, sondern wurde von den Cyberverbrechern erstellt.

Ein Download mit der angeblichen Rechnung – die sich in einer Zip-Datei befindet – startet dann und wer diese Datei öffnet, installiert sich die aktuellste Cerber-Variante.

Cerber zählt wie Locky und Petya zu den gefährlichsten Krypto-Trojanern der Welt

Cerber verschlüsselt alle Daten auf Ihrem PC und macht sie damit unbrauchbar.

Die Erpresser fordern Sie anschließend zur Zahlung eines Lösegeldes in Höhe von 500 US-Dollar für den Cerber Decryptor auf, der die Daten entschlüsselt. Zudem drohen die Täter, die Lösegeldforderung innerhalb weniger Tage zu verdoppeln, wenn Sie nicht umgehend zahlen.

So erkennen Sie die gefälschte E-Mail von Mediamarkt

gefälschte Mediamarkt Rechnung

Die E-Mails der Cyber-Betrüger enthalten die Information, dass ein von Ihnen reservierter Artikel bei mediamarkt.de in Kürze an Sie ausgeliefert wird.

Wer genau hinsieht merkt sofort das die persönliche Anrede und Anschrift fehlen, ein sicheres Indiz dafür das hier irgendetwas nicht stimmt.Sie werden nur als „Client“ angesprochen, noch nicht einmal als Kunde.

Es ist  davon auszugehen, dass die Betrüger mit unterschiedlichen Artikeln aus dem Sortiment des Media Markts arbeiten, um die Virenfilter zu umgehen. Sie entlarven diese E-Mail also nicht unbedingt anhand des beworbenen Produktes.

In der E-Mail finden Sie zwei Links: Der eine führt Sie auf die Original-Produktseite von mediamarkt.de. Mit dem anderen Link werden Sie aufgefordert, die Bestellung zu bestätigen oder zu stornieren. Diesen Link dürfen Sie auf keinen Fall betätigen, denn dies führt automatisch dazu, dass eine ZIP-Datei heruntergeladen wird, die Cerber auf Ihrem System installiert und aktiviert.

Sollten Sie in den kommenden Tagen und Wochen also unerwartet eine E-Mail vom Media Markt erhalten, löschen Sie diese umgehend und klicken Sie unter keinen Umständen auf einen der Links in der E-Mail.

Sollten Sie sich dennoch einen Erpressungs-Trojaner einfangen, rät das Bundeskriminalamt dringend davon ab, das Lösegeld zu bezahlen, da nicht sicher ist, ob Sie nach Zahlung der Lösegeld-Forderung Ihre Daten wieder zurück bekommen

Für den Fall der Fälle:

Wenn Sie sich einen Verschlüsselungs-Trojaner wie Locky, Cerber oder Petya eingefangen haben, zählt schnelle Reaktion als Lebensrettung für Ihre Daten.

  1. PC sofort ausschalten, zur Not auch schnell – sehr schnell ! – den Stromstecker ziehen
    der Virus braucht einige Zeit um die Verschlüsselung aller Daten durch zu ziehen
  2. PC nicht wieder einschalten !
    oft passiert die „eigentliche Verschlüsselung“ erst nach dem Neustart des Computers
  3. Informieren Sie sofort Ihren ITService und bringen Sie den betroffenen PC zur Rettung herein
    je nach Fall und wie schnell Sie die Arbeit des Trojaners unterbunden haben, kann man evt. die Daten noch retten
  4. Versuchen Sie auf keinen Fall selbst den Crypto-Trojaner zu entfernen, damit sind Ihre Daten „trotzdem verschlüsselt“
    wenn Sie nur den Trojaner entfernen, bekommen Sie Ihre verschlüsselten Daten nicht zurück
  5. Prüfen Sie sofort alle anderen PCs, und Server in Ihrem Netzwerk
    Locky sucht alle anderen Geräte im Netz und infiziert diese gleich mit

 

rufen Sie uns an

0231 – 7 763 753


locky-erpresser-virus
Mai
19

Locky Virus kommt auch ohne E-Mail 

Der Erpresser Trojaner „Locky“ kommt nicht immer nur per E-Mail

Sicherheitsforscher von Google und FireEye haben jetzt eine verheerende Sicherheitslücke im Adobe Flashplayer entdeckt über die der Verschlüsselungstrojaner in Windows Computer einbricht. Bislang war die Verbreitung vom Erpresser-Trojaner auf gefälschte oder manipulierte E-Mails mit einem speziellen Anhang zurückzuführen. Doch es wurden auch von vielen Webseiten berichtet, die an der Verbreitung des Virus beteiligt sind.

Viele infizierte Webseiten verteilen Locky

In der neusten Variante schickt Locky ein kleines Spionage-Tool voraus, der in der Lage ist das Netzwerk von Innen heraus zu öffnen, damit sich der Trojaner selbst Zugang verschaffen kann. Im Unterschied zu „alten Version“ wird also keine E-Mail mehr versendet in der der Link zur „bösen Website“ enthalten ist.

Als großes Einfallstor scheint der Locky eine Sicherheitslücke im Flashplayer auszunutzen, um sich Zugriff auf den heimischen PC oder Mac zu verschaffen. Adobe hat direkt mit einem „Notfallpatch“ reagiert und stellt diesen auf seiner Webseite, kostenlos zum Download bereit. Auch der gefährliche Cerber Trojaner nutzt diese Sicherheitslücke im Adobe Flashplayer aus um Computer beim Besuch einer Webseite umgehend zu infizieren.

Damit steigt die Gefahr und das Verbreitungstempo dieser Erpresser-Trojaner rapide an, den der beliebte Flashplayer gehört sozusagen zur Grundausstattung und ist auf fast jedem PC-System zu finden. Alle Flash Player Versionen bis einschließlich 21.00.197 (unter Windows) und 18.0.0.33 (Windows und OS X) sowie unter Linux 11.2.202.577, sind von dem Sicherheitsleck betroffen und bieten Locky und Cerber die Chance das System zu infizieren.

Unbemerkt und Gefährlich

Meist bemerkt der Nutzer überhaupt nicht, das er sich einen Verschlüsselungstrojaner von einer Internetseite heruntergeladen hat. Diese Aktion dauert nur wenige Sekunden und geschieht vollkommen im Hintergrund. Der Nutzer bemerkt es erst wenn es bereits zu spät ist und Locky sich im System bereits eingenistet hat und seine Aufagbe „die Verschlüsselung aller Daten“ beginnt.

locky virus trojanerAufhalten läßt sich diese Aktion dann meistens auch nicht mehr, da dieser Vorgang innerhalb weniger Minuten abgeschlossen ist. Nach nur wenigen Augenblicken sind sämtliche Daten, ich meine ALLE WICHTIGEN DATEN unbrauchbar und auch nicht mehr zu retten.

Ist Locky erst einmal aktiv sind in wenigen Minuten alle Dokumente, Bilder, Tabellen, Texte und E-Mails – also alles was dem Benutzer wichtig ist – verloren (bzw.verschlüsselt) und es besteht sofort Gefahr das auch die anderen Computer, Server, Netzwerkfestplatten oder Macs im Netzwerk auch infiziert werden.

Um diese Gefahren zu vermeiden ist kaum ein Kraut gewachsen, nur mit schweren Geschützen, wie speziellen Firewall-Boxen die mit einem ATP-Blocker den gesamten Netzwerkverkehr zwischen Internet und dem lokalen Netzwerk analysieren. Aus finanzieller Sicht ist der Einsatz einer Fire-Box allerdings eher etwas für Firmen und Betriebe, da Privatpersonen diese Investition meistens scheuen.

Wie bemerke ich ob ich bereits infiziert bin?

Im ersten Moment fühlt es sich an, als sei der Computer abgestürtzt oder eingefroren. Es erscheint ein gefürchteter BSD (Bluescreen) oder der PC wirkt wie eingefroren. Erst nach dem Neustart kann Locky seine eigentliche Arbeit fortsetzen und mit der Verschlüsselung der Daten beginnen.

Am Besten wäre es es den PC nicht mehr neu zu starten und sofort den ITService oder anderen Fachmann anzurufen um die Gefahr eindämmen zu können.

Virenschutzprogramm aktuell halten

Die erste Möglichkeit um sich vor dem Trojaner Angriff zu schützen, ist das Betriebssystem und auch den Virenschutz immer aktuell zu halten und regelmäßige Offline-Backups durchzuführen.

Allerdings wird dadurch das Risiko einer Infektion nicht ausgeschlossen, aber zumindest etwas eingedämmt.

Das die Gefahr durch Ransomware immer weiter steigt, zeigen die aktuellen Meldungen über infizierte Windows-Systeme. Fast im Tagesrythmus kommen Kunden mit infizierten Computer zu uns in die PC-Werkstatt und sind sich sicher, auf keine „gefährliche“ oder „böse“ E-Mail geklickt zu haben. Das will ich gerne glauben, den die Anzahl der gekapperten Webseiten steigt im Minutentakt, bedrohlich an.

Leider ist es kaum erkennbar, ob eine Webseite infiziert wurde – denn der Driveby-Download startet im Hintergrund und wird oftmals ohne weitere Warnungen oder Meldungen ausgeführt. Hier bleibt nur zu Hoffen, das der Virenscanner schnell Alarm schlägt, wenn er den Download im Hintergrund bemerkt. Wie so ein „Locky-Angriff“ funktioniert haben wir in unserem letzten Webinar (bei Youtube) ausführlich dargestellt

weiterführende Links zum Thema Rasomware


Locky Erpresser Virus
Mrz
05

Ransomware Locky – Verschlüsselungs-Trojaner 

Große Sorgen bereitet derzeit der Verschlüsselungstrojaner Locky den deutschen Internetbesuchern

Deutschland steht bereits auf Platz 3 der am meisten infizierten Geräten. Mit mehr als 50.000 neuen Infizierungen pro Tag bricht die Welle an Cyberkriminalität über Deutschland herein. Leider können auch nicht alle Virenscanner jeden Schädling tatsächlich entdecken und somit findet der Trojaner oft einen Weg auf den PC.

Mittlerweile gibt es von der Ransomware -Locky – schon 60 Modifikationen und die Hersteller von Antivirenschutz-Software haben alle Mühe die täglich veränderten Signaturen des bösartigen Trojaners, schnell genug in Ihre Erkennungsmethoden einzubauen.

Alle Fakten zum Erpresser Virus Locky und wie Sie sich davor aktiv schützen können – erfahren Sie in unserer großen Titelstory „Ransomware – Locky verbreitet sich rasant in Deutschland“ (der link befindet sich ganz unten auf dieser Seite)

Locky ! – Top Verbreitung per E-Mail

locky-virus-überrollt DeutschlandNach wie vor nutzt Locky insbesondere zwei Angriffsvektoren:

Locky gelangt über gefälschte Rechnungen im E-Mail-Anhang auf den Rechner. Sobald das der E-Mail angehängte Dokument geöffnet wird, wird die Schadsoftware aus dem Internet nachgeladen – sofern die für die Infizierung nötigen Makros aktiviert sind.

Daneben kennt man bei Kaspersky Lab auch schon legitime Internetseiten, auf denen die Locky-Schadsoftware platziert wurde. Besucht ein Nutzer – mit entsprechenden Software-Schwachstellen oder nicht aktuellem Virenscanner auf seinem Rechner – eine entsprechende Seite, versucht Locky sich automatisch auf diesem Rechner zu installieren.

Der Besucher bekommt davon meistens überhaupt nichts mit und bemerkt die Infektion erst dann wenn plötzlich keine Bilder oder Dokumente mehr zu Öffnen sind und eine Warnmeldung auf dem PC-Bildschirm erscheint, die eine Lösegeldforderung anzeigt.

mit unserer Checkliste zum Ausdrucken „Checkliste Phishing Mail“ erkennen Sie in Zukunft auch die gefälschten und gefährlichen E-Mails

Neue Varianten von Locky

In neueren Versionen tarnt sich Locky auch als Fax- oder Scanner-Benachrichtigung. Sobald Locky einen Weg auf den infizierten Rechner gefunden hat, startet der Trojaner seine Verschlüsselungsaktivitäten und fordert im Anschluss von den Opfern ein Lösegeld, damit diese „angeblich“ wieder auf Ihre Daten zugreifen können.

Marco Preuss, Leiter des europäischen Forschungs- und Entwicklungsteams von Kaspersky Lab sagt: „Die Kriminellen hinter Locky versuchen derzeit aus der Erpressersoftware alles rauszuholen und größtmöglichen Profit zu erzielen“ „Locky ist kein ‚Kinderfasching‘, hier hat jemand viel kriminelle Energie investiert.“

2016 wird das Jahr der „Ransomware“!

Verschlüsselungstrojaner oder Erpresser Virus sind keine ganz neues Phänomän, wir erinnern uns noch an den Coinvault oder Teslascript, wo es auch darum ging, die Daten gegen die Zahlung eines Lösegeldes wieder freizugeben.

Auch Android Nutzer müßen sich 2016 intensiver mit den Ransom-Attaken befassen und für entsprechende Schutzmaßnahmen sorgen. Im Jahr 2015 richtete sich bereits jede 6. Ransom-Attake gegen Handy und Tablet Nutzer mit ANDROID.

Locky setzt diesen Trend aktuell fort, allein im Februar 2016 wurden genau soviel Angriffe gezählt wie in den vergangen 5 Monaten. Mit einer Steigerung ist in jedem Falle noch zu rechnen. Weltweit liegt Deutschland auf Platz 3, dierekt hinter Rußland und Indien.

Sicherheits Tipps vom Experten

Skepsis und Vorsicht ist jetzt angebracht

Um sich vor den gefürchteten Ransomware zu schützen empfehlen wir folgende Sicherheitsmaßnahmen zu beachten:

  • Vorsicht bei E-Mail Anhängen:
    Sie sollten bei E-Mail s mit Anhängen – insbesondere Word und Excel oder Zip-Archive – sehr kritisch sein. Im Besten Fall löschen Sie die Nachricht sofort und öffnen unter keinen Umständen den Anhang.
  • Seien Sie kritisch auch bei Feunden
    Bei E-Mails von fremden Personen sollten Sie auch die Word oder Excel Anhänge nicht öffnen und einer strengen „Plausibilitäts-Prüfung unterziehen.
  • Lieferstatus und Rechnung per E-Mail?
    Gleiches sollten Sie auch bei angeblichen Rechnungen oder angeblichen Problemen mit einer Lieferung von unbekannten Firmen machen. E-Mails und Angaebote werden üblichweise im sicheren PDF-Format versendet und bestimmt nicht als Office-Dokument.
  • Software aktuell halten
    Betriebssystem und Browser und alle anderen wichtigen Programme – dazu zählt auch das Office und Outlook – sollten stets aktuell gehalten werden und die Sicherheitsupdates des Herstellers rechtzeitig eingespielt werden.
  • Windows und Office 
    Sollten Sie noch keine Zeit für den Wechsel von Ihrem Windows-XP System gefunden haben, wäre jetzt ein guter Zeitpunkt das Betriebssystem auf die neue und sichere Version Windows 10, umzustellen. Ebenfalls sollten Sie ein Microsoft Office 2003 auch nicht mehr einsetzen und unbedingt auf eine aktuelle Version umsteigen.
  • akueller Virenschutz ist Pflicht!
    ein abgelaufener und schlecht programmierter Virenscanner bietet dem Verschlüsselungstrojaner und anderer Schadsoftware einen Zugang zu Ihrem System.
    Deshalb sollten Sie Ihren Virenschutz immer aktuell halten und die Updates (geht meist automatisch bei einer Internetverbindung) schnellstmöglich einspielen.
    Verlangen Sie nicht von einem kostenlosen Scanner den gleichen Schutz wie Sie en von einer „bezahlten“ Software bekommen.
  • kein Lösegeld bezahlen
    Zahlen Sie unter keinen Umständen die Lösegeldforderung und folgen Sie auch nicht dem angebotenten link ins „Dark-Web“ um die Zahlungskonditionen auszuhandeln.
    Bisher ist noch vollkommen unklar ob die Hacker auch wirklich in der Lage sind, die Verschlüsselung rückgangig zu machen.In einer der letzten Varianten der Verschlüsselungtrojaner war es selbst dem Hacker nicht mehr möglich die „verschlüsselten Dateien“ wieder zu entsperren, da der Schlüssel vorsorglich gelöscht wurde. In der Regel hat man das Lösegeld dann zu m Fenster herausgeworfen und die Daten bleiben mit einer AES 256Bit-Verschlüsselung für den User unbrauchbar.

Auch das Bundesamt für Sicherheit (BSI) warnt derzeit vor den Cyberaktivisten und bietet um Mithilfe bei den Ermittlungen. Bildschrim fotografieren und bei der Polizei Strafanzeige stellen.

Eine Checkliste (zum Ausdrucken) zum schnellen Erkennen von gefälschten E-Mails und gefährlichen Phishing-Mails finden Sie im 2 Teil unserer Titelstory (ganz unten auf der Seite)

BSI Warnung und Informationen zu Locky

So zeigt sich der Locky-Virus

Mit mehr als 5.000 Neu-Infektionen pro Tag ist dieser Vrius bereits eine Seuche die nun auch in Deutschland angekommen ist.

  • Locky verschlüsselt zuersteinmal den betroffenen Rechner und versucht gleichzeitig, weitere im Netzwerk befindlichen Computersysteme zu befallen
  • die „Eigenen Dateien“ lassen sich anschließend nicht mehr öffnen, da diese mit einer AES (256Bit) Verschlüsselung versehen sind, das erkennt man dann an der Dateiendung „.locky“
  • Der Locky-Trojaner versteckt sich in vielen Dateien, nicht nur in Word-Dateien, sondern auch in PDF oder Musikdateien, angeblich sind es schon mehr als 150 Dateiendungen
  • Eine Erpresser-Datei wird – natürlich – unverschlüsselt im System abgelegt, damit der Benutzer die Webseite des Erpressers im Darknet über das „TOR-Netzwerk“ aufrufen kann
  • Dort befinden sich dann auch die Zahlungsanweisungen, die meist über die virtuelle Währung von Bitcoins getätigt werden müßen
    Bitcoin Lösegeldforderung
  • Laut Heise soll diesmal das ausgelieferte „Entschlüsselungstool“ wirklich die Daten wieder lesbar machen, das war dem dem BKA-Trojaner noch etwas anders.
  • Trotz Lösegeldzahlung und vermeintlichen Zugriff auf die eigenen Dateien, ist im Anschluß der digitale Erpresser und viele weitere Schadsoftware noch immer im PC-System des Anwenders und kann jederzeit seine Arbeit von vorne beginnen. Ganz nach dem Motto – Wer einmal Lösegeld gezahlt hat – der wird das vielleicht auch ein zweites Mal machen.
  • Die Entschlüsselung mit dem erkauften Tool funktioniert – wenn überhaupt – nur auf dem eigenen PC nd kann auch nicht an betroffene Freunde und Kollegen weitergeben werden um etwas Lösegeld zu sparen.
    Zu diesem Zweck nutzt der Cybererpresser für jeden infizierten PC eine eigene ID (Kennung)
  • Sollten in einem Heimnetzwerk oder sogar im Firmennetzwerk gleich mehrere Computer oder Laptops oder Handys infiziert sein, so müßte auch für jeden Einzelnen PC die entsprechende Lösegeldforderung bezahlt werden.
  • Nicht nur das Bundesamt für Sicherheit, sondern auch die Polizei, empfehlen die Lösegeldforderung nicht zu bezahlen, da eine Säuberung des System nicht gewährleistet sei und der Zugriff auf die verschlüsselten Daten ungewiss ist.

Wenn Sie doch schon Lösegeld bezahlt haben !


So arbeitet der Locky-Virus

Eine vermeintlich harmlose und durchaus professinell aussehende E-Mail mit angehängter Word oder PDF-Datei landet im Posteingang und verleitet den Benutzer zum Öffnen der Anlage.

Sobald das geschehen ist, wird Locky aktiv und sucht im Computer und den verbundenen Netzlaufwerden nach bekannten Dateitypen, die er im Anschluss dann verschlüsseln wird. Für den Verschlüsselungsprozess nutzt der Erpresservirus die Windows eigene CryptoAPI, damit ist die Verschlüsselung stets aktuell und auf jedem System lauffähig, egal ob XP, Vista, Windows 7, 8 oder 10. Auch auf sämtlichen Windows Server ist der Virus lauffähig.

Dateien die das Windows-System zum Starten benötigt, werden nicht angerührt, da der Benutzer sonst das Erpresserschreiben nicht lesen könnte und der Cyberdieb leer ausgehen würde. Der Virus beginnt nun mit der Verschlüsselung der Bilder, Videos, Office-Dateien usw. und lädt zur Sicherheit noch einige andere Schadsoftware auf das System. Nur für den Fall dass der Benutzer die Verschlüsselung abbricht, oder der Virus irgendwie vom Virenscanner gestoppt wird.

Sollte der Benutzer oder auch das Virenschutz-Programm die verdächtigen Aktivitäten bemerkt haben ( das können im Augenblick (März 2016) nur die wenigsten AV-Programme erkennen) und eine Möglichkeit gefunden haben, den Virus bei seiner Aufgabe zu hindern, wird das System es einfach in ein paar Tagen erneut versuchen. Dazu hat es schon ausreichend Schadsoftware und Backdoor-Files nachgeladen und fleißig im System versteckt.

Locky entfernen ist schwer möglich

Ist das System erst einmal infiziert, ist das bloße Entfernen des Virus leider keine wirkliche Hilfe. Den die Verschlüsselug ist schon durchgeführt worden und das Trojanerprgramm ist jetzt sowiso überflüßig und wird auch nicht mehr gebraucht. Das Löschen des Trojaners würde also lediglich die Ursache, jedoch nicht die Auswirkung oder die Sympthome beheben.

Im Augenblick arbeiten die Antivirenhersteller bereits an einer Lösung und experementieren ein bischen herum. Allerdings scheitern Sie ebenso wie auch die Geheimdienste oft an der starken Verschlüsselung, den mitunter nutzt der Locky-Virus sogar eine RSA 2.048 Bit Verschlüsselung-Technologie.

Vorbeugen ist die einzige Lösung

Das Zahlen der Lösegeldforderung bringt leider keine Garantie auf Erfolg, selbst wenn die Cyberkriminellen gefasst und verhaftet werden sollten ist es sehr zweifelhaft ob die Welt dann ein Allround-Entschlüsselung-Programm von den Behörden bekommt. (ich denke mal eher nicht)

Hier hilft nur sein Betriebssystem immer aktuell zu halten, einen ordentlichen Virenschutz und Sicherheitssystem zu installieren und regelmäßig ein Backup der wichtigsten Daten durchzuführen. Das spart auf die Dauer viel Zeit und enorme Kosten.

Verlassen Sie sich nicht auf vollmundige Versprechungen von kostenlosen Virenschutzprogrammen, sondern nutzen Sie die Möglichkeiten wie Sie auch von den Profis angewendet werden.

jetzt Backup Aktions-Bundle sichern

Nutzen Sie unsere attraktiven Backup-Angebote

wir erstellen automatische Sicherung und liefern die Backupfestplatte gleich mit

novastore-backup-service-partnerSie erhalten von uns ein ausgezeichnetes und leicht zu bedienendes Backup-Programm mit dem Ihre wichtigen Daten und auf Wunsch der komplette PC oder Notebook regelmäßig vollautomatisch gesichert wird.

Wir übernehmen die Einrichtung und zeigen Ihnen wie Sie mit ein paar Klicks Ihren Daten vor Verlust, Verschlüsselung oder anderen Defekten sichern können.

Als Partner von Novastor bieten wir Ihnen eine erstklassige Sicherungssoftware aus Deutschland – mit dem Motto – Backup ganz einfach wie für mich gemacht! und liefern Ihnen sogar noch die passende Sicherungsfestplatte mit dazu.

CHECKLISTE
Phishing Mail

Checkliste Phishing Mail zum Ausdrucken finden Sie in Teil 2

MEHR INFORMATIONEN

wir beraten Sie direkt wie Sie sich schützen können
0231 – 7 763 753

 


Nov
04

Newsflash 11 2015

Erpresser-Virus – das FBI ist machtlos

auf einer Fachtagung hat ein Ermittlungsleiter des FBI jetzt ernüchtert zugegeben, dass kaum ein Kraut gegen Erpressungs-Trojaner gewachsen ist. Sobald ein Rechner infiziert ist, rät das FBI deshalb den Opfern oft, die verlangte Lösegeldsumme einfach zu bezahlen.

Der Grund dafür ist, dass die Trojaner so ausgeklügelt sind, dass selbst das FBI den Verschlüsselungs-Mechanismus nicht mehr knacken kann. Deshalb müssen die betroffenen Nutzer das Lösegeld zahlen, wenn sie jemals wieder an ihre Daten rankommen wollen. Selbst erfolgreiche Versuche, die verschlüsselten Daten doch noch zu retten, gelingen den Behörden oft nur durch Zufall: Wenn etwa die Online-Gangster Fehler bei der Verschlüsselung machen, dann kann der Code geknackt werden. Allerdings lernen die Betrüger schnell dazu, sodass diese Erfolge für das FBI immer seltener werden.

Immerhin fordert das FBI betroffene Nutzer dazu auf, sich bei ihnen zu melden. Ein ähnliches Angebot vom BND fehlt in Deutschland bislang noch. Wer hier von Online-Kriminalität betroffen ist, sollte sich aber auf jeden Fall an die örtliche Polizeidienststelle und den Verbraucherschutz wenden.

Mit einem aktuellen Virenscanner und einer aktivierten Firewall schützen Sie Ihren Rechner effizient. Achten Sie außerdem bei verdächtigen Mails darauf, keinen Link anzuklicken und auch den Dateianhang auf keinen Fall zu öffnen. Mit einer gesunden Portion Skepsis fahren Sie deshalb am sichersten.

bank-note-209104_1280Lösegeld bezahlt – was nun ?

in den meisten Fällen würde ich von dem Tip des FBI nicht anschließen. Viele unserer Kunden haben die Lösegeld-Forderung durch den Kauf einer UKASH-Karte oder Prepade-Code an der Tankstelle bezahlt und zu Hause voller Erwartung den Code in Ihrem PC eingegeben.

Passiert ist nichts, auch nach einigen Tagen noch immer nichts, die Daten sind nachwievor verschlüsselt und für den geprellten Anwender noch immer nicht nutzbar. Viel Hoffnung gibt es dabei auch nicht, den wer will sich schon auf das Wort eines Kriminellen Erpressers verlassen.

Der Erpresser weiss sehr genau, dass es sehr unwahrscheinlich ist, das er entdeckt und verhaftet wird, warum sollte er also sein Wort halten und weiterhin den Kontakt mit dem betroffenen Nutzer halten. Vielmehr erhofft sich der Erpresser, dass der Anwender noch ein zweites Mal die geforderte Lösegeldsumme beezahlt und da wäre eine zu frühe Auflösung der Geiselschaft höchst unwirtschaftlich.

Lösegeldforderung

wer die 50 € oder 90 € übrig hat und an das „Gute im Menschen“ glaubt, der kann auf die Lösegeldforderung eingehen und mit der Zahlung (Kauf der UKASH-Card) auf die Freilassung seiner Daten hoffen. Wie auch das FBI, sind wir ebenso wenig in der Lage die vom digitalen Erpresser verschlüsselten Daten, zu befreien. Das gelingt schon deshalb nicht, da die Mechanismen, die von den Erpressern mittlerweile eingesetzt werden, den höchsten Sicherheitsmaßnahmen und Verschlüsselungstechniken die auch im Militärbereich verwendet werden – entsprechen.

Zudem haben die digitalen Erpresser oftmals den notwendigen Schlüssel, der zum erfolgreichen entschlüsseln der entführten Dateien nötig ist, gleich nach der Verschlüsselung zerstört. Damit ist niemand mehr – auch nicht der Erpresser selbst –  in der Lage, die Daten zu entschlüsseln und die Daten wieder lesbar oder nutzbar zu machen.

Schutz vor Erpresser Virus

einen wirklich 100% Schutz vor solch einem Erpresser-Virus gibt es leider nicht. Dennoch läßt sich die Gefahr massiv eindämmen wenn man ein aktuelles Betriebssystem und vor allem ein gutes und aktuelles Sicherheitsprogramm verwendet. Zusätzlich mit einer ausgewachsenen Skepsis vor jeder E-Mail ( ob von unbekannt oder vermeintlich bekannt) und vor unglaublichen Lockangeboten im Netz und der ständigen Aktualisierung des Betriebssystems, kann man das Risko einer virtuellen Computerentführung weiter reduzieren.

Die sicherste Methode ist natürlich eine regelmäßige Sicherung der wichtigsten Daten und sogar des kompletten Betriebssystem. Datensicherung wird oft von vielen kleinen Betrieben und privaten Haushalten, die keine eigene IT-Abteilung haben, vernachlässigt. Dabei können die Bilder der Kinder, Enkel usw. genauso wertvoll sein, wie die Bilanzen und Kundendaten von Firmen.

Datensicherung zu teuer, aufwändig und kompliziert ?

Das ist ein Mythos, den es zu wiederlegen gilt. Bei unseren Service setzten wir auf Usability und richten Ihre Datensicherung mit wenigen Klicks ein. Auch die Anschaffungskosten sind deutlich geringer als ein Wocheneinkauf beim Supermarkt und in jedem Falle eine sehr wichtige Wertanlage. Die Datensicherung läßt sich vollautomatisch oder halbautomatisch einrichten, je nach Bedarf und Kundenwunsch. Auch die regelmäßige Kontrolle über den Erfolg der Datensicherung ist mit unserer Anweisung keine schwere Aufgabe, sondern wird mit Hilfe von Asstisten und geführter Benutzersteuerung zum Kinderspiel.

Nur mit einer funktionierenden Datensicherung haben Sie eine Versicherung für die digitale Erpressung und können sich im Bedarfsfall das Lösegeld sparen und brauchen nicht auf die Ehrlichkeit der kriminellen Erpresser hoffen.


Erfahrungen & Bewertungen zu ITService Dortmund