Locky: Erpressungstrojaner wird mittlerweile besser erkannt
von caschy | 54 Kommentare
Ein Verschlüsselungstrojaner macht seit mehreren Tagen von sich reden. Er wütend auch in Deutschland und hat schon massig Rechner befallen. Es ist das alte Spiel der Erpressungstrojaner, sie verschlüsseln eure Daten und fordern dann in gutem Deutsch eine Zahlung, damit die Daten wieder entschlüsselt werden. Die neue und sich aggressiv verbreitende Variante hört auf den Namen Locky. Locky, das könnte auch der nette Kumpel von Karl Klammer sein, kommt beispielsweise über Makros in Word-Dateien auf euer Windows-System. Hier ist es vielleicht angeraten, auf Makros innerhalb von Office generell zu verzichten – zumindest momentan (im Unternehmensumfeld sicherlich schwer). Auch eine offizielle Quelle kann ja infiziert sein.
Und die Sache mit E-Mails in Anhängen muss sicherlich auch nicht separat erwähnt werden. Locky ist ein heimtückischer Typ, denn er verschlüsselt nicht nur lokale Dateien, sondern fräst sich auch auf Netzwerkfreigaben – dank externer Datenträger wie NAS und Co dürfte das der Horror für viele sein, die extern ihr System sichern. Mittlerweile hat es ein Beta-Tool von Malwarebytes wohl geschafft, Locky Einhalt zu gebieten. Malwarebytes Anti-Ransomware ist mittlerweile als Beta 5 zu haben und schützt das System dementsprechend. Auch SpyHunter von Enigma ist mittlerweile auf Locky angepasst und könnte euch vor dem Schädling schützen, der eure Daten mit AES 128Bit verschlüsselt, auch Sophos hat Vollzug gemeldet.
Auch das Bundesamt für Sicherheit in der Informationstechnik warnt derzeit. Ist der Rechner befallen, so solle man nicht auf Lösegeldforderungen eingehen. Die weiteren Tipps sind aber eher lala (Stattdessen sollten betroffene Nutzer den Bildschirm samt Erpressungsnachricht fotografieren und bei der Polizei Anzeige erstatten.). Was man dieser Tage zur Hand haben solle? Eine aktuelle Sicherung, die nicht irgendwie im Netzwerk hängt. Und ist das Kind erst in den Brunnen gefallen, so sollte man vielleicht nicht die verschlüsselten .locky-Dateien in das digitale Nirvana blasen – denn vielleicht gibt es in naher Zukunft ja ein Entschlüsselungsprogramm eines Sicherheitsherstellers. Wäre nicht das erste Mal.
Sofern ihr mit Locky in Berührung gekommen seid: hinterlasst doch einmal einen Kommentar, was passierte und was ihr anschließend getan habt, ist vielleicht auch interessant für andere Leser. Kann man in vielen Fällen, wenn sich jemand was eingefangen hat, über Doofheit lachen, so ist dies bei Locky nicht angebracht. Sehr gezielt und in sehr guter deutscher Sprache wurden hier Mails verschickt, die teilweise den Anschein erwecken, als seien sie spezifisch und gezielt erstellt worden.
Wird geladen ...
Das würde ich auch empfehlen:
http://www.urgixgax.de/blog/wordpress/sicherheitsrisiko-erweiterungen-bei-bekannten-dateitypen-ausblenden
(Erweiterungen bei bekannten Dateitypen NICHT ausblenden!
1. würde mich interessieren, ob Gmail auch davon betroffen ist. Denke mal eher, dass man da reichlich sicher ist. Punkt für Google!
2. lese ich immer, dass auch online-Backups betroffen sind, weil die dann auch verschlüsselt werden. Mhh. Unglaubwürdig. Ehe meine 1300 GB hochgeladen sind, dauert es eine Weile. Und selbst wenn die Dateien online ersetzt worden sind, kann man ja sowohl bei Dropbox und auch bei Crashplan die Dateien auf frühere Versionen zurücksetzen. Ich wüsste auch nicht, wie „Locky“ das unterbinden könnte.
Es lässt sich immer leicht sagen, dass man nicht auf Anhänge klicken soll. Leser dieses und anderen Techblogs ist das auch völlig klar. Aber es gibt auch noch andere Menschen da draußen.
Und wenn eine Sachbearbeiterin im Unternehmensumfeld auf einen Rechnungsanhang klickt, kann man ihr das nicht vorwerfen. Die aktuellen Mails sind so perfide gemacht, dass es für unbedarfte User nicht zu erkennen ist.
Gerade letzte Woche wieder eine Anfrage von einer Freundin bekommen, dass Amazon ihr Konto eingeschränkt hat und sie ihre Kontodaten eingeben soll, damit es wieder freigeschaltet wird. #Facepalm
Was kostet eigentlich die Entschlüsselung? Und sind die Dateien dann wieder nutzbar, also wirklich entschlüsselt?
@TVB
Die Schattenkopien (Dateiversionsverlauf) werden von Locky gelöscht, also hilt das bei einem Befall nicht.
https://nakedsecurity.sophos.com/2016/02/17/locky-ransomware-what-you-need-to-know/
Abgesehen davon dass ich keine Mails öffne von Anbietern etc. die ich nicht kenne, hab ich mich bei jedem Anbieter mit einer Mailadresse in der Form „anbieter@domain.de“ angemeldet und kommt über eine Adresse nun Spam oder eine Mail eines vermeintlichen anderen Anbieters mit angeblicher Rechnung etc weiß man sowieso direkt was los ist 😀
Angeblich soll auch HitmanPro.Alert vor Locky schützen … https://www.youtube.com/watch?v=0sZnLr6Qsbw … nein – ich bin kein Mitarbeiter und bekomme keine Provi 😉
Kann vlt. jemand hier im Forum mal wieder ein Tutorial über Backup/Restore Lösungen verfassen? möglichst mit Bordmitteln von Windows. Solche Kaufprogramme wie AX64 mögen ja gut sein, aber ich glaube (ohne zu wissen), dass es auch mit Windows-Bordmitteln möglich sein sollte, sein Windows komplett zu sichern und im Falle eines Falles wieder herzustellen (natürlich mit Bootmedium, falls Windows gar nicht mehr startet).
Cachy hatte da in der Vergangenheit schon immer mal wieder die eine oder andere Lösung aufgezeigt (auch für Windows 10??). Ich bin gar nicht für mich selbst daran interessiert, da ich überwiegend portable Programmlösungen benutze (á la Portableapps.com), meine Bilder und DOCS und EXCEL-Dateien regelmäßig (täglich) auf verschiedenen Medien sichere und gerne regelmäßig mein Windows System plattmache und neu-installiere.
Aber im Bekannten-/Verwandtenkreis werden solche Lösungsansätze gerne aufgenommen.
Im Unternehmens-Netzwerk (Micorsoft Umgebung) ist ggf. nachfolgende Masnahmen interessant:
Über die Funktion „Dateiprüfungs-Verwaltung“ im RessourcenManager eins Fileservers lassen sich bestimmte/konfigurierte Dateiendungen blockieren bzw. das Erstellen solcher Dateien verhindern. Nachteil: Die Liste der Dateiendungen, welche in Verbindung mit dem Virus stehen wird sich weiter verändern und muss nachgepflegt werden.
Weitere Informationen+Anleitung:
https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locker-schuetzen/
Bei mehreren/vielen Fileservern können mit dem Befehl „filescrn“ die Einstellungen/Konfigurationen relativ komfortabel exportieren/importieren werden.
Diese Masnahme wurde, zusätzlich zu den bekannnten Schutzmaßnahmen (Makros blockieren usw.) in unserem Netzwerk an ca. 100 Fileservern (W2K3, W2K8, W2012) umgesetzt.
Gibt es irgendwo einen offiziellen Link von Sophos der die Erkennung von Locky bestätigt?
Ich habe mir Locky auf einem Testsystem von 3 frisch betroffenen Webseiten heruntergeladen. Avast Free (Mac) hat es dreimal erkannt. Vorher habe ich den Webschutz deaktiviert, damit die Datei tatsächlich auch auf dem Gerät landet. Kann den Hype nicht verstehen.
@ zynisch Dateiversionsverlauf unter Win 8 und Win 10 ist eine stinknormale externe Sicherung wie Apples Time Machine. Ob die gesicherten Daten nun von dem Virus gelöscht oder verändert werden, hängt nur davon ab, wo sie sich zum Zeitpunkt der Infektion befinden und ob ein Zugriff darauf vom infizierten Rechner aus möglich ist.
Ich denke, hier gepriesene zusätzliche Backuplösungen haben da auch nicht viel mehr zu bieten, außer vielleicht paar buntere Knöpfe oder einen Wizard. Dafür kosten sie einen Haufen Geld und werden von mittelständischen EDVlern gerne in den Himmel gepriesen, weil man sie kleineren Kunden für paar Euro zusätzlich andrehen kann.
Grundsätzliche Frage zum Schutz von Backupdateien:
Ich erstelle Backups mit Aomei Backupper auf einer externen Festplatte – automatisch und täglich.
Wie kann ich diese Backupdateien nun davor schützen, dass sie gelöscht und/oder verändert werden – Schreibschutz sozusagen – ohne dass ich ständig die externe Festplatte abstöpseln müsste – und vollautomatisch?
Denn wenn so eine Ramsonware auch meine Backupdateien verändert, stehe ich doof da.
Bin für Tipps dankbar und wäre sicher auch für andere User interessant.
@ Mart bei einer USB Platte fällt mir keine unkomplizierte Lösung ein.
Mögliches Szenario mit wenig Aufwand (Aufwand einmalig für die Beschaffung und Einrichtung, so mache ich das): Man sichert auf ein NAS, am NAS hängt zusätzlich eine USB Festplatte. Rechner wird auf NAS gesichert, NAS wiederum sichert noch mal auf den angehängten USB-Datenträger. Ein Zugriff vom Rechner aus auf die USB-Festplatte vom NAS ist nicht möglich. Oder man sichert den NAS-Inhalt bei einem nur dafür eingerichtete Cloudanbieter. (Synology kann das z.B.)
Nach kurzer Recherche:
Die Backupdateien liegen in einem bestimmten Verzeichnis.
Rechte Maustaste auf das Verzeichnis – Eigenschaften – Sicherheit: Hier kann ich doch Berechtigungen für bestimmte Gruppen vergeben: Könnte ich hier nicht einfach einstellen, dass Dateien erstellt werden dürfen, aber nicht verändert oder gelöscht werden können? Ja, ich könnte, ich weiß. Aber hat es den gewünschten schützenden Effekt und für welche Benutzergruppe müsste ich dies durchführen. Bin nicht so tief drin in der User/Berechtigungen-Materie.
@TVB
Der Grundgedanke ist richtig, die Ausführung aber schlecht.
Eine immer angeschlossene externe Festplatte ist anfällig für Brand, Blitzschlag, Diebstahl. Im schlimmsten Falle zerstört es dir im NAS und gleichzeitig auf der externen Festplatte die Daten.
Zu Locky: Stell dir vor, Locky verschlüsselt dir vom Rechner aus Dateien auf dem NAS. Du bemerkst es die ersten 1-2 Stunden nicht und zufällig kommt dann der Cronjob (Aufgabenplaner bei Syno) um die Ecke und synct die verschlüsselten Daten mit den Daten auf der externen HDD. Dann hast du überall Müll.
Eine Lösung ist u.a. mit abgestöpselter Festplatte zu arbeiten. Dafür gibt es schöne Tools für das NAS von Synology (Stichwort Paket „Autorun“).
Dann doch lieber die kostenlose Variante von Crashplan nutzen. Die erstellt beliebig viele Versionen von Dateien. Dann geht man im schlimmsten Fall eine Version zurück und erstellt diese wieder neu. Egal wie stark verschlüsselt die aktuelle Datei/Backupdatei ist.
Kostenpflichtig gibt es das ganze dann noch 256bit-verschlüsselt in der Cloud. Dann kann meinen Daten auch Wohnungsbrand, Blitzschlag, Diebstahl etc. nichts anhaben.
@Bulli Cloudbackup gekonnt überlesen? Wo kommt überhaupt die Anforderung her, räumlich getrennte Backupaufbewahrung einzubauen, wenn jemand nach Möglichkeiten zum Schutz seiner Daten einer lokalen USB Platte fragt?
Der Rest lässt sich mit sinnvollen Intervallen für die Sicherung und Synchronisation regeln. Wem das nicht reicht, kann sich gerne mit Backupstrategien auseinandersetzen, das Netz ist voll davon.
@ Mart Was Du mit Dateirechten machst, kann ein Schadprogramm, das die Kontrolle über dein System übernommen hat, auch machen. Insofern halte ich lokale Änderungen an Zugriffsberechtigungen für nicht ausreichend.
Für Privatleute mit relativ wenigen Änderungen im Datenbestand hilft nur eine Backupsoftware, die eine gerade angeschlossene USB Festplatte erkennt, die Sicherung durchführt, und hinterher das Medium wieder auswirft.
So ab und an den Schalter zu betätigen, bekommen wohl auch Noobs hin. Wenn nicht, selber schuld. Die Leute benehmen sich teilweise, als ob sie früher ihre Fotoalben und Leitzordner alle drei, vier Jahre einfach verbrannt hätten.
Ich lass alle paar Monate immer das Windows 7 Systemabbild durchlaufen, Daten extern gespeichert, denke das reicht auch oder?