Locky: Erpressungstrojaner wird mittlerweile besser erkannt
von caschy | 54 Kommentare
Ein Verschlüsselungstrojaner macht seit mehreren Tagen von sich reden. Er wütend auch in Deutschland und hat schon massig Rechner befallen. Es ist das alte Spiel der Erpressungstrojaner, sie verschlüsseln eure Daten und fordern dann in gutem Deutsch eine Zahlung, damit die Daten wieder entschlüsselt werden. Die neue und sich aggressiv verbreitende Variante hört auf den Namen Locky. Locky, das könnte auch der nette Kumpel von Karl Klammer sein, kommt beispielsweise über Makros in Word-Dateien auf euer Windows-System. Hier ist es vielleicht angeraten, auf Makros innerhalb von Office generell zu verzichten – zumindest momentan (im Unternehmensumfeld sicherlich schwer). Auch eine offizielle Quelle kann ja infiziert sein.
Und die Sache mit E-Mails in Anhängen muss sicherlich auch nicht separat erwähnt werden. Locky ist ein heimtückischer Typ, denn er verschlüsselt nicht nur lokale Dateien, sondern fräst sich auch auf Netzwerkfreigaben – dank externer Datenträger wie NAS und Co dürfte das der Horror für viele sein, die extern ihr System sichern. Mittlerweile hat es ein Beta-Tool von Malwarebytes wohl geschafft, Locky Einhalt zu gebieten. Malwarebytes Anti-Ransomware ist mittlerweile als Beta 5 zu haben und schützt das System dementsprechend. Auch SpyHunter von Enigma ist mittlerweile auf Locky angepasst und könnte euch vor dem Schädling schützen, der eure Daten mit AES 128Bit verschlüsselt, auch Sophos hat Vollzug gemeldet.
Auch das Bundesamt für Sicherheit in der Informationstechnik warnt derzeit. Ist der Rechner befallen, so solle man nicht auf Lösegeldforderungen eingehen. Die weiteren Tipps sind aber eher lala (Stattdessen sollten betroffene Nutzer den Bildschirm samt Erpressungsnachricht fotografieren und bei der Polizei Anzeige erstatten.). Was man dieser Tage zur Hand haben solle? Eine aktuelle Sicherung, die nicht irgendwie im Netzwerk hängt. Und ist das Kind erst in den Brunnen gefallen, so sollte man vielleicht nicht die verschlüsselten .locky-Dateien in das digitale Nirvana blasen – denn vielleicht gibt es in naher Zukunft ja ein Entschlüsselungsprogramm eines Sicherheitsherstellers. Wäre nicht das erste Mal.
Sofern ihr mit Locky in Berührung gekommen seid: hinterlasst doch einmal einen Kommentar, was passierte und was ihr anschließend getan habt, ist vielleicht auch interessant für andere Leser. Kann man in vielen Fällen, wenn sich jemand was eingefangen hat, über Doofheit lachen, so ist dies bei Locky nicht angebracht. Sehr gezielt und in sehr guter deutscher Sprache wurden hier Mails verschickt, die teilweise den Anschein erwecken, als seien sie spezifisch und gezielt erstellt worden.
Wird geladen ...
Ganz ehrlich: Anhänge von unbekannten Personen gehören nicht geöffnet. Insbesondere wenn es um angeblich nicht gezahlte Rechnungen geht.
Dieser Trojaner soll auch beim Besuch gewisser Internetseiten übertragen werden. Leider schreibt keiner um welche Seiten es sich handelt.
Gut, Anhänge von unbekannten Personen öffnet man eigentlich nicht. Eigentlich. Aber mal ehrlich: Die meisten Menschen wollen schon mal in das Dokument reinschauen. Warum auch nicht? Nur sicher sollte sowas eben sein. Daß ein Word-Dokument ein „Eigenleben“ führt, dürfte an sich nicht sein. Ich habe in den letzten Tagen vermehrt solche Dokumente erhalten (und natürlich nie geöffnet). Heute früh allerdings war auch mal eine HTML-Datei dabei, weil angeblich mein PayPal-Account gesperrt wurde. Auf Englisch. Und das Mail-Konto ist bei PayPal nicht hinterlegt. Also: Nonsens! Dennoch: das Betrachten von Dokumentenanhängen sollte sicher sein! Programmcode hat darin nichts verloren.
Es muss nicht unbedingt ein Anhang von einer unbekannten Person sein, es sind auch genügend gehackte Mail Accounts im Netz vorhanden. Und diese schicken auch mal schnell eine Mail über die Adressbücher der Freunde.
Ich frage mich immer, ob nach Zahlung tatsächlich wieder entschlüsselt wird, oder ob einfach nur abgezockt wird
Seitdem ich ein unixbasiertes Betriebssystem verwende, können mich solche Trojaner kreuzweise.
@ Tuxi
Das hat man auch mal von Linux oder Mac gesagt.
Anruf einer der Büroangestellten meiner Steuerberaterin: “ Hier wurde alles verschlüsselt mit RSA 2048 bla bla bla“ Kurz eingewählt, 40000 Dateien mit 15GB hatten die locky Endung erhalten, es war in der Tat eine email vor einer Stunde an die sie sich erinnern konnte^^. https://ax64.com/ angeworfen, Snapshot von vor 2h restored und alles wieder gut. Netzwerk Scanner Ordner war auch betroffen. Kann das Programm nur empfehlen, als der Anruf kam wurde mir kurz übel, so schnell wieder alles unter Kontrolle zu haben war schon klasse. Jruuss vum Mikk
Oder von Firefox, bis halt die ersten Lücken aufgetaucht sind die ausgenutzt wurden.
Je mehr eben was Verbreitung findet, desto lukrativer ist es für Kriminelle.
Eine Sandbox ist sicher auch kein Fehler…
@ Mikk Schleifer
Geht das auch in Deutsch?
@ Herr Hauser
Dearest users, With the release of AX64 Time Machine v2 comes a ton of bug fixes and optimizations. But we’ve got an exciting feature for some of our friends across the globe: Multi-lingual support. We now support the following languages: English German French…
Also ja, ist aber wirklich easy doing, Product Tour mal anschauen, gruesse
@ Herr Hauser
Dearest users, With the release of AX64 Time Machine v2 comes a ton of bug fixes and optimizations. But we’ve got an exciting feature for some of our friends across the globe: Multi-lingual support. We now support the following languages: English German French…
Auch Deutsch, easy doing, schau mal die Product Tour an, gruesse
Dearest users, With the release of AX64 Time Machine v2 comes a ton of bug fixes and optimizations. But we’ve got an exciting feature for some of our friends across the globe: Multi-lingual support. We now support the following languages: English German French…
Auch Deutsch, easy doing, schau mal die Product Tour an, gruesse
Das hat mich jetzt interessiert, was die Makros, in Worddokumenten betrifft:
In Office 2016 zum Beispiel, sind Makros standardmäßig deaktiviert. Sieht man im Trustcenter.
Anleitung, um es mal zu prüfen.
https://support.office.com/de-de/article/Aktivieren-oder-Deaktivieren-von-Makros-in-Office-Dateien-12b036fd-d140-4e74-b45e-16fed1a7e5c6
ja Herr Hauser
also alle Makros erstmal auf „deaktivieren“ stellen hilft schon mal halbwegs?
Mailanhänge öffne ich sowieso nie, selbst „Rechnung.exe“ nicht:-)
Ja Herr Hauset, heißt Dateiversionsverlauf und ist in Win 8 und 10 eingebaut.
Davon mal ab, als Privatmann bei Gmail habe ich solche Emails nie gesehen… Vielleicht mal im Spamordner, dann aber auch schon ohne Anhang.
Einige unserer Kunden hat es am Mittwoch erwischt. Bei einem waren ca. 300.000 Dateien willkürlich im Netzwerk verschlüsselt. Das ding scheint 20 minuten aktiv gewesen zu sein. Da blieb nur noch dad Backup von letzter Nacht. Das ganze kam per mail.