Locky: Erpressungstrojaner wird mittlerweile besser erkannt
von caschy | 54 Kommentare
Ein Verschlüsselungstrojaner macht seit mehreren Tagen von sich reden. Er wütend auch in Deutschland und hat schon massig Rechner befallen. Es ist das alte Spiel der Erpressungstrojaner, sie verschlüsseln eure Daten und fordern dann in gutem Deutsch eine Zahlung, damit die Daten wieder entschlüsselt werden. Die neue und sich aggressiv verbreitende Variante hört auf den Namen Locky. Locky, das könnte auch der nette Kumpel von Karl Klammer sein, kommt beispielsweise über Makros in Word-Dateien auf euer Windows-System. Hier ist es vielleicht angeraten, auf Makros innerhalb von Office generell zu verzichten – zumindest momentan (im Unternehmensumfeld sicherlich schwer). Auch eine offizielle Quelle kann ja infiziert sein.
Und die Sache mit E-Mails in Anhängen muss sicherlich auch nicht separat erwähnt werden. Locky ist ein heimtückischer Typ, denn er verschlüsselt nicht nur lokale Dateien, sondern fräst sich auch auf Netzwerkfreigaben – dank externer Datenträger wie NAS und Co dürfte das der Horror für viele sein, die extern ihr System sichern. Mittlerweile hat es ein Beta-Tool von Malwarebytes wohl geschafft, Locky Einhalt zu gebieten. Malwarebytes Anti-Ransomware ist mittlerweile als Beta 5 zu haben und schützt das System dementsprechend. Auch SpyHunter von Enigma ist mittlerweile auf Locky angepasst und könnte euch vor dem Schädling schützen, der eure Daten mit AES 128Bit verschlüsselt, auch Sophos hat Vollzug gemeldet.
Auch das Bundesamt für Sicherheit in der Informationstechnik warnt derzeit. Ist der Rechner befallen, so solle man nicht auf Lösegeldforderungen eingehen. Die weiteren Tipps sind aber eher lala (Stattdessen sollten betroffene Nutzer den Bildschirm samt Erpressungsnachricht fotografieren und bei der Polizei Anzeige erstatten.). Was man dieser Tage zur Hand haben solle? Eine aktuelle Sicherung, die nicht irgendwie im Netzwerk hängt. Und ist das Kind erst in den Brunnen gefallen, so sollte man vielleicht nicht die verschlüsselten .locky-Dateien in das digitale Nirvana blasen – denn vielleicht gibt es in naher Zukunft ja ein Entschlüsselungsprogramm eines Sicherheitsherstellers. Wäre nicht das erste Mal.
Sofern ihr mit Locky in Berührung gekommen seid: hinterlasst doch einmal einen Kommentar, was passierte und was ihr anschließend getan habt, ist vielleicht auch interessant für andere Leser. Kann man in vielen Fällen, wenn sich jemand was eingefangen hat, über Doofheit lachen, so ist dies bei Locky nicht angebracht. Sehr gezielt und in sehr guter deutscher Sprache wurden hier Mails verschickt, die teilweise den Anschein erwecken, als seien sie spezifisch und gezielt erstellt worden.
Wird geladen ...
So rein interessehalber, also Frage an die, die solche Verschlüsselungtrojaner schon in Aktion erleben „durften“.
Verschlüsseln die nur bestimmte Dateien (also gewisse Nutzdateien?) Oder Pauschal alles, was nicht im Windowsverzeichnis (inkl. Netzwerk und USB) liegt ?
Weil wenn letzteres der Fall wäre, bringt ja ein Backup ala TimeMachine gar nix….
Weil dann AX64 (oder auch andere) gar nicht mehr auf Ihre Backups zugreifen könnten….
Kann doch eigentlich nicht so schwer sein, das Decryptor Tool irgendwo öffentlich zugänglich hochzuladen. Oder hat man Angst, die Verbrecher könnten einen wegen Urheberrechtsverletzung anmahnen?
Bei 2 unserer Kunden hat es die komplette Server Infrastruktur erwischt, zum Glück nicht den Exchange.
Komplette Veeam Sicherungen der letzten Nacht wiedergeholt und gut (DomainController, mehrere WTS).So war ’nur‘ 1 Arbeitstag futsch.
1x kam’s nachweislich per Mail (Word Makro) und 1x gehen wir von einer Website aus. Ich erinnere mich jetzt nicht mehr an die URL, war aber eine US Studentenverbindung. Evtl per Pop-Up..
Mit „Locky“ hatte ich bisher noch keinen Kontakt aber mit unterschiedlichen Variationen von TeslaCrypt. TeslaCrypt hat ebenfalls Daten auf Netzwerklaufwerken verschlüsselt und lässt sich in der aktuellen Version 3 nicht knacken. Meist war es möglich die Daten auf betroffenen Netzwerklaufwerken aus einer recht aktuellen Datensicherung wiederherzustellen (zweimal war die Sicherung aber leider nicht ganz so aktuell).
Für mich privat war dies der Auslöser einmal wieder über das Thema Datensicherung nachzudenken. Was bei Dropbox liegt ist dagegen wohl gut abgesichert da man alte Versionen wiederherstellen kann, aber viele Dateien liegen auch „nur“ auf dem Raid 1 meines Homeservers (gegen Festplattenausfall also einigermaßen gut absichert aber ein Raid ersetzt wie die Aktuellen „Verschlüsselungstrojaner“ zeigen eben kein Backup) und eventuell noch lokal auf einem Rechner. Nur einige etwas ältere Dateien fahren noch auf drei externen Platten herum die mit 1TB, 750GB sowie 320GB viel zu klein für die ca. 3TB auf dem Homeserver waren. Und wenn ich die Daten wie bisher einfach kopiere und der Trojaner im Hintergrund noch nicht bemerkt wurde würde man ja eventuell die richtigen Dateien mit den unbrauchbaren überschreiben zumindest wenn man die Platte an den Lokalen Rechner hängt, am Server wäre es da von Vorteil das die Programme die Dateien immerhin umbenennen und so beim Kopieren&Ersetzen dann die alten Daten unangetastet bleiben aber trotzdem würde dies einen Aufwand bedeuten alle unbrauchbaren Daten zu löschen. Deshalb wollte ich ein einigermaßen komfortables und zuverlässiges System. Als die Ersten Teslacrypt fälle bei uns ende letzen Jahres aufgeschlagen sind habe ich mir erst einmal eine 5TB USB 3.0 Platte gekauft und alle Daten einmal manuell per cp auf die Platte kopiert damit ich zumindest einmal wieder eine einigermaßen aktuelle Kopie meiner Daten habe. Heute habe ich nun rsnapshot eingerichtet das täglich per Cronejob (falls die Platte angeschlossen ist) alle Änderungen sichert und über Hardlinks eine übersichtliche Versionsverwaltung ermöglicht. Und ist die Sicherung beendet werde ich über etwaige Fehler per Mail informiert.
Das Konzept sieht aktuell so aus:
1. Jeder Nutzer hat per SMB schreibender Zugriff auf sein Verzeichnis und ein Gemeinsames Verzeichnis, lesen darf man auch bei anderen. Wenn sich nun ein Nutzer „Locky“ oder „TeslaCrypt“ einfängt sind erst einmal nur dessen Daten und das gemeinsame Verzeichnis betroffen.
Ein PC Spiegelt seine Daten auf ein Verzeichnis indem es stündlich alle Änderungen abgleicht die anderen arbeiten direkt auf den Netzwerklaufwerken.
2. Der Server sichert die Daten auf eine 5TB USB 3.0 Platte per rsnapshot welches die älteren Sicherungen eine weile aufbewahrt aber dank Hardlinks nur die Änderungen doppelt abspeichern muss (7 Tages, 4 Wochen und 12 Monatssicherungen werden aufbewahrt).
3. Über Fehlermeldungen bei der Sicherung werde ich per Mail informiert.
Eventuell erweitere ich das ganze noch auf eine 2. Platte die ich im Wechsel (wöchentlich oder monatlich) für die Sicherung anschließe dann kann eine Platte auch Räumlich getrennt gelagert werden.
https://wiki.ubuntuusers.de/rsnapshot/
Relevante Daten liegen auf meinem FreeNAS. Pro Stunde wird ein Snapshot angelegt und für drei Tage behalten. Pro Tag wir ein Snapshot angelegt und für einen Monat behalten. Dazu repliziert es sich mit dem FreeNAS meines Vaters bidirektional.
Wenn mir da jemand etwas verschlüsselt, wird die Änderung einfach rückgängig gemacht.
Locky habe ich zum Glück noch nicht in freier Wildbahn gesehen, aber die diversen Tesla-Crypt-Varianten haben schon mehrere Kunden erwischt. Das Problem waren aber immer die Benutzer, welche versucht haben die „defekten“ Office-Dokumente irgendwie zu starten und sich teilweise erst nach mehreren Stunden gemeldet haben. Da hatten die Verschlüsselungs-Trojaner dann ausreichend Zeit. Dank Veeam und Drive Snapshot sind aber – wenn überhaut – nur die Daten vom Vormittag weg gewesen…
In meiner Verwandtschaft war jemand davon betroffen. Da half nur neuinstallieren und letztes Backup einspielen.
Auf „Dummheit“ kann man das mittlerweile nur noch selten schieben, die Infektionswege sind sehr ausgereift geworden. Es werden auch gerne spezifische Mails mit der Absenderadresse @firmendomäne verschickt. Der Empfänger denkt also es wäre eine interne Mail und öffnet diese schon deutlich schneller.
Hier sind in letzter Zeit auch sehr viele Zahlungsaufforderungen in den Postfächern gewesen. Gott sei Dank kann man dies sehr leicht in Postfix mit „reject_unknown_reverse_client_hostname“ unterbinden. (Mit Vorsicht zu verwenden, da viele Sysadmins zu dumm sind, einen Server richtig zu konfigurieren.)
@Felix
Crashplandaten auf dem eigenen Pc könnten theoretisch auch verschlüsselt werden, also auch die bisherigen versionen darin. soweit ich weiß wäre es aber in der crashplancloud sicher da dort die alten daten dauerhaft bestehen bleiben. nur die geschwindigkeit zu und von crashplan könnte noch schneller sein
@Dirk: Wenn Locky so clever wäre, die Archivdateien von Crashplan zu verschlüsseln, dann wäre es allerdings übel und man müsste sich wohl eine HDD zuschicken lassen mit den Originaldateien. Vielleicht haben die Archivdateien deswegen keine Dateiendungen!?
@Georg Sauer (Schorsch): Danke für den Link. War zu befürchten. Aber dann muss ausser Lösegeld ja noch eine Info/Eindeutige ID vom betroffenen PC an die Geiselnehmer gesendet werden?
Nur zur Info: Microsoft Security Essential / Windows Defender sollten ihn (nun) entdecken können:
https://www.microsoft.com/security/portal/threat/Encyclopedia/Entry.aspx?Name=Ransom:Win32/Locky.A
Gibt es wirklich reale Firmen, die Rechnungen als Word/Excel Dateien verschicken? Die würden wohl nie Geld von mir sehen 😉 Entweder Textdatei, PDF, per Post oder Fax.
@Mart
Wenn du das Verändern von Dateien über die Rechteverwaltung von Windows regelst, was nur bei NTFS-Laufwerken funktioniert, bist du davon abhängig, dass der Schädling sich an die Rechte-Bestimmungen von Windows hält. Üblicher Weise kommen Schädlinge aber mit Code daher, der genau das umgeht, indem sie sich selbst zum Admin oder System-User erheben, und dann dürfen sie die Dateien auch löschen oder überschreiben.
So leid es mir tut: Ein Backup muss immer räumlich und datentechnisch getrennt von Ihrer Quelle sein. Sonst hilft sie im Falle eines Brands oder Vernichtung durch Software nicht weiter.
Mal ehrlich, ihr geht immer von euch und eurem eigenen Gebiet aus.
Aber was ist mit Dem/Der Sachbearbeiter/in die jeden Tag Rechnungen für Dinge geschickt bekommt, die sie selbst nicht bestellt hat ?
Die Mails sind teilweise so gut, dass man auch als erfahrener Internetuser 3 mal Lesen muss. Die Bearbeiter kommen teilweise garnicht drumherum sowas zu öffnen.
Im privaten Umfeld lässt sich das noch einigermaßen umgehen, aber die Leute tun mir Leid….
@Mikk Schleifer
Hey, ist zwar schon ne Weile her aber bei mir grade aktuell.
Wie stellst du bei deiner AX64 Timemachine sicher das deren Daten nicht von der Ransomware befallen werden?
Grüße Dave