2179607

Erpresser: Was Sie über Locky wissen sollten

26.02.2016 | 16:41 Uhr |

Der Erpresserschädling Locky ist derzeit recht verbreitet. Er verschlüsselt Dateien auf der Festplatte, um Lösegeld zu erpressen. Wir fassen zusammen, was bislang über Locky bekannt ist und wie Sie sich schützen können.

Die Ransomware Locky ist zurzeit in aller Munde. Angaben über 5000 neu infizierte Rechner pro Stunde erscheinen dramatisch, sind jedoch an sich nicht ungewöhnlich. Locky ist schlicht der neueste Vertreter der seit Jahren grassierenden Seuche Ransomware. Diese Erpresserschädlinge verschlüsseln Dateien auf der Festplatte, löschen die Originale und zeigen dann eine Meldung an, in der die Täter ein Lösegeld verlangen. Nach Zahlung der geforderten Summe in Bitcoins sollen die Opfer den Schlüssel erhalten, um ihre Dateien wieder herstellen zu können.

Entdeckt wurde Locky durch Mitarbeiter des Sicherheitsdienstleisters Palo Alto Networks. Laut Palo Alto Networks soll Locky schon auf vielen Computern schlummern. Die Ransomware benötige zusätzlich den Makro-Downloader Bartallex, dieser sei schon in über 400.000 Sitzungen aufgetaucht. Die Hälfte der infizierten Rechner stehe in den USA. Kanadische und australische Nutzer seien ebenfalls betroffen.

Der britische Sicherheitsforscher Kevin Beaumont geht hingegen davon aus, dass Locky pro Sekunde fünf neue Rechner infiziert. Deutschland belegt mit 5300 Infektionen pro Stunde nach Ansicht von Beaumont sogar den Spitzenplatz. Erst danach folgen die Niederlande, USA oder Kroatien. Zusätzlich könne sich Locky innerhalb von Netzwerken verbreiten.

Nach aktuellen Untersuchungen des Antivirusherstellers Kaspersky Lab sind Deutschland und Frankreich derzeit am stärksten durch Locky betroffen. Weitere Länder mit recht hohen Infektionsraten sind Südafrika, Österreich, Italien, USA, China und Indien. Kaspersky Lab kennt bereits 60 unterscheidbare Locky-Varianten.

Locky könnte von denselben Tätern stammen wie die Banking-Malware Dridex . Beide verwenden die gleichen Verbreitungswege und zum Teil sogar die gleichen Dateinamen. Denkbar ist jedoch auch, dass die Täter hinter Locky nur die gleiche, durch Dritte bereit gestellte Verbreitungsinfrastruktur nutzen.

Verbreitungswege
Locky wird auf mehreren Wegen verbreitet. Eine der Möglichlichkeiten sind Mails mit manipulierten Office-Dateien (Word, Excel) im Anhang. Diese enthalten Makros zum Download des eigentlichen Schädlings. Es gibt zudem Mails, deren Anhang aus einem ZIP-Archiv besteht, in dem eine Javascript-Datei (.js) steckt. Wird diese im Internet Explorer geöffnet, lädt das Script den Schädling herunter. Die Mails erscheinen als vorgebliche Rechnung, Mahnung, Bestellbestätigung oder auch als Fax- oder MMS-Nachricht. Auch durch einen Kopierer eingescannte Dokumente können als Vorwand dienen.

so erkennen Sie ein falsches Sipgate-Fax
Vergrößern so erkennen Sie ein falsches Sipgate-Fax
© Sipgate

In dieser Woche sind zum Beispiel gefälschte Mails aufgetaucht, die vorgeblich vom Internet-Telefonie-Anbieter Sipgate stammen und eine ZIP-Datei mit einer vermeintlichen Fax-Nachricht enthalten. Tatsächlich handelt es sich um eine Javascript-Datei, die den Schädling lädt und installiert. Diese Mails enthalten ein Sipgate-Logo und sehen täuschend echt. Sipgate warnt auf seiner Website: „++ACHTUNG ++ Es werden täuschend echte E-Mails mit unserem Namen und Logo verschickt. Bitte achten Sie auf den Anhang: keine ZIP-Files öffnen!“.

Die Mails werden massenhaft verbreitet, nicht nur an Sipgate-Kunden. Sipgate verschickt nach eigenen Angaben nie Mails mit ZIP-Dateien. Außerdem fehle in den falschen Mails das "An:"-Feld mit der Zieladresse und die angegebene Kundennummer sei falsch. Ein nicht deutsches Datumsformat sei laut Sipgate ein weiteres Merkmal der gefälschten Mails. Für die Anrede werde schlicht der vordere Teil der Mail-Adresse benutzt.

Außerdem verbreiten die Täter den Schädling über kompromittierte Websites, die mit dem Neutrino Exploit-Kit präpariert sind. Wer auf eine solche Seite gelockt wird, dessen Rechner wird durch ein Script auf Schwachstellen abgeklopft. Das sind etwa veraltete Browser-Versionen sowie Plug-ins wie der Flash Player. Wird das Script fündig, lädt es einen Downloader auf den PC, der wiederum den eigentlichen Schädling herunter lädt. Das alles gilt nicht nur für Locky, sondern ist allgemein eine heute übliche Vorgehensweise.

Infektion durch Word-Dateien
Die per Mail verbreiteten Word-Dateien enthalten VBA-Makros. Wird eine solche Datei geöffnet, erscheint nur zufälliger Zeichensalat. Ist die Ausführung von Makros in Word oder Office deaktiviert, was seit Jahren standardmäßig der Fall ist, werden Sie aufgefordert Makros zuzulassen, um den Text richtig darzustellen. Tatsächlich legt das Makro dann eine Datei auf der Festplatte ab, den Downloader für die eigentliche Malware. Dieser lädt dann Locky auf Ihren Rechner und startet den Schädling.

Locky nimmt Kontakt zu seinem Mutterschiff, dem Command&Control-Server auf. Der Server generiert ein für den jeweiligen PC spezifisches Schlüsselpaar. Locky lädt sich den öffentlichen Schlüssel herunter und nutzt ihn zur Verschlüsselung der Dateien. Der private Schlüssel, der zum Entschlüsseln benötigt wird, verbleibt auf dem Mutterschiff.

diese Dateitypen verschlüsselt Locky
Vergrößern diese Dateitypen verschlüsselt Locky

Locky durchsucht nahezu alle Verzeichnisse auf allen angeschlossenen Laufwerken, einschließlich Netzwerkfreigaben – auch wenn diesen kein Laufwerksbuchstabe zugewiesen ist. Locky verschlüsselt bestimmte Dateitypen, darunter Dokumente, Fotos, Videos, Musikdateien und viele andere. Die verschlüsselten Dateien tragen die Endung „.locky“. Die Originale werden überschrieben und gelöscht. Locky löscht auch die so genannten Schattenkopien, aus denen sich die Originale oft wieder herstellen ließen.

Locky fordert Lösegeld
Vergrößern Locky fordert Lösegeld
© Kaspersky Lab

Ist Locky damit fertig, zeigt er seine Erpressermeldung an. Die Täter fordern zur Wiederherstellung der Dateien ein Lösegeld von 0,5 oder 1 BTC (Bitcoin). Die Zahlung soll über einen Dienst im so genannten Darknet (nur über Tor erreichbar) abgewickelt werden. Wer zahlt, soll ein Entschlüsselungs-Tool erhalten. Eine Garantie, dass Sie Ihre Dateien wiederbekommen, wenn Sie zahlen, gibt es jedoch nicht. Die Täter könnten Nachforderungen stellen oder später erneut zuschlagen.

Schutz und Abhilfe
Sie schützen sich vor Locky und anderer Malware, indem Sie keine Mail-Anhänge öffnen, die Sie nicht eindeutig einer legitimen Herkunft zuordnen können. Deaktivieren Sie Makros in Office, erlauben Sie fallweise nur Makros, die sie selbst erstellt haben. In Unternehmen sollten eigene Makros digital signiert und alle anderen blockiert werden. Halten Sie Ihren PC mit den neuesten Sicherheits-Updates für Betriebssystem und Browser auf dem aktuellen Stand. Wenn Sie den Flash Player nicht zwingend benötigen, deinstallieren Sie ihn, ebenso das Java-Plug-in.

durch Locky verschlüsselte Dateien im Explorer
Vergrößern durch Locky verschlüsselte Dateien im Explorer
© Kaspersky Lab

Der Hersteller Malwarebytes bietet ein spezielles Tool namens Anti-Ransomware an. Es soll vor Erpressersoftware wie Locky, aber auch CryptoWall4, CryptoLocker, TeslaCrypt und CTB-Locker schützen. Der Hersteller gibt an, das Tool überwache die Aktivitäten auf dem Rechner und erkenne typisches Ransomware-Verhalten. Dieses werde dann blockiert, der mutmaßliche Schädling in Quarantäne gesteckt und gelöscht. Ein Ersatz für eine umfassende Antivirus-Software kann dies jedoch nicht sein, lediglich eine Ergänzung.

Verlassen Sie sich nicht allein darauf, dass Ihr Antivirusprogramm den Schädling schon erkennen wird. Die Täter prüfen ihre neuesten Schädlingsvarianten mit diversen Antivirusprogrammen und modifizieren sie so lange, bis sie nicht mehr erkannt werden. Dann kann es durchaus mal einen Tag dauern, bis ein Update für Ihren Virenscanner zur Verfügung steht, mit dem er auch die neueste Variante des Schädlings erkennt.

Fertigen Sie regelmäßig Backups Ihrer wichtigen Dateien an, die Sie auf einem externen Medium speichern, etwa auf einer USB-Festplatte. Diese sollte jedoch nicht permanent angeschlossen sein, sonst kann sie ebenfalls verseucht und unbrauchbar gemacht werden. Nur mit aktuellen Backups können Sie Ihre Dateien wieder herstellen, falls eine Ransomware wie Locky trotz aller Vorsichtsmaßnahmen zuschlägt.

Bewahren Sie im Ernstfall die verschlüsselten Dateien an einem sicheren Ort auf, falls Sie die Originale nicht aus Backups restaurieren können. Experten haben schon mehrfach durch sorgfältige Analysen Schwachstellen in der Verschlüsselungstechnik der Erpresserschädlinge entdeckt. Dadurch konnten schon spezielle Tools entwickelt werden, mit deren Hilfe Sie durch einen bestimmten Schädling, etwa TeslaCrypt 2.0, verschlüsselte Dateien restaurieren können.

0 Kommentare zu diesem Artikel
2179607