Locky: Verschlüsselungstrojaner bedroht Windows-Rechner

Verschlüsselungstrojaner wie Locky sind im Prinzip nichts Neues. Die sogenannte Ransomware (von englisch „ransom“=Lösegeld, „ware“=Kurzform für Software) blockiert den Zugriff auf Dateien, indem diese verschlüsselt werden. Die Erpresser fordern vom Anwender Lösegeld, um die Dateien wieder entschlüsseln zu lassen. Während die Verschlüsselungstrojaner vor einigen Jahren noch mit einfachen Mitteln zu Werke gegangen sind, indem sie beispielsweise nur die Dateiendungen verändert oder eine sehr schwache Verschlüsselung benutzt haben, sind die Schädlinge technisch immer ausgereifter geworden. Für aktuelle Ransomware gibt es zumeist keine einfachen Tools, um die Verschlüsselung zu knacken und wichtige Daten sind häufig verloren.
Sehr große Ausmaße zeigen sich aktuell beim Verschlüsselungstrojaner „Locky“.

Was ist Locky?

Sofern er einmal auf dem Rechner ausgeführt wird, verschlüsselt Locky Dateien aller gängigen Office- und Multimedia-Formate – kurzum: alle Dateien, die für PC-Nutzer wichtig sind. Dabei beschränkt sich Locky nicht nur auf die Systemfestplatte, der Trojaner verschlüsselt auch die Daten auf externen Speichermedien (ext. Festplatte, USB-Sticks, …), Netzwerkfreigaben und sogar auf Cloudspeichern sofern diese mit dem PC synchronisiert werden. Locky löscht außerdem alle Volumenschattenkopien, mit denen ältere Versionen von Dateien wiederherstellbar wären. Nachdem Locky die Dateien verschlüsselt hat, ändert sich das Hintergrundbild auf dem Desktop und der Trojaner hinterlässt dem Nutzer die Nachricht, dass er Lösegeld (ca. 200€) zahlen muss, um wieder an seine Daten zu kommen. Die Erpresser bieten dafür ein Entschlüsselungstool an. Laut Tests von Heise Security war das Tool in der Lage, die betroffenen Dateien wieder zu entschlüsseln. Da es sich bei den Entwicklern allerdings um Kriminelle handelt, ist keineswegs garantiert, dass das Programm wirklich auf allen Systemen funktioniert. Das Bundesministerium für Sicherheit in der Informationstechnik (BSI) rät davon ab, das Lösegeld zu bezahlen.
Verbreiten tut sich Locky vorrangig über infizierte Mailanhänge. Der Anwender bekommt eine gefälschte Mail mit einer angeblichen Rechnung im Anhang. Anfangs handelte es sich bei den Anhängen hauptsächlich um Office-Dokumente mit Makros. Durch das Ausführen der Makros wurde der Trojaner aktiv. Mittlerweile sind jedoch auch andere Varianten bekannt, bei denen der Trojaner mithilfe von Java-Script funktioniert. Genauso nutzen die Entwickler Schwachstellen in Webbrowsern aus, um Locky zu verbreiten.
Es wird vermutet, dass Locky bereits seit einiger Zeit auf vielen Systemen lauerte und erst ab 15.02. aktiv wurde. Somit konnten die Täter ihre bis dahin unbekannte Schadsoftware nahezu unbemerkt auf vielen Rechnern verteilen.

Über 5000 Infektionen pro Stunde

Am häufigsten betroffen sind PC-Nutzer in Deutschland, den Niederlanden und den USA. Zu Spitzenzeiten hat ein britischer Sicherheitsforscher mehr als 5000 Infektionen pro Stunde in Deutschland registriert. Betroffen sind nicht nur normale Privatanwender, auch Einrichtungen wie Behörden, Betriebe oder Krankenhäuser waren schon Opfer der Malware. Dazu gehört in Deutschland auch das Fraunhofer-Institut in Bayreuth. Durch den Schädlingsbefall waren ca. 60 Arbeitsplätze ausgefallen. Locky hatte sich vermutlich über einen Arbeitsplatzrechner in das Netzwerk eingeschlichen.
In Deutschland werden schätzungsweise 17.000 Rechner am Tag infiziert, mittlerweile ist weltweit von einer halben Million betroffener PCs auszugehen, Tendenz steigend.

Aktuelle Entwicklungen

Die Entwickler arbeiten daran, den Trojaner immer gezielter zu verteilen. Deutsche Nutzer bekommen die Lösegeldforderung mittlerweile in deutscher Sprache angezeigt und nicht wie bei Verschlüsselungstrojaner üblich auf englisch. Genauso sind die gefälschten E-Mails für Nutzer immer schwerer zu erkennen. Am letzten Wochendende wurde bekannt, dass die Kriminellen eine E-Mailadresse eines Ludwigsluster Fleischunternehmens benutzen, um gefälschte Rechnungen an die Empfänger zu verteilen. Der Anhang kommt als ZIP-Archiv, in dem sich schädlicher JavaScript-Code befindet. Die E-Mail ist für Nutzer schwer zu erkennen, da das Design inklusive Firmenlogo von den Kriminellen kopiert wurde.

Schutz gegen Locky

Der aktuelle Fall zeigt, dass PC-Nutzer besonders aufpassen müssen, welche E-Mails und vor allem welche Anhänge sie öffnen. Wichtig ist bei jeder E-Mail kritisch zu hinterfragen, ob Sie wirklich seriös ist. Erkennen kann man gefälschte E-Mails in den meisten Fällen schon an der Absenderadresse. Dennoch gelingt es den Betrügern immer wieder, mit gefälschten Adressen wie beim angesprochenen Fleischunternehmen Schadsoftware zu verteilen. Nutzer sollten vorsichtig sein bei Dateianhängen im Word-, OpenOffice-, oder ZIP-Format. Seriöse Firmen verschicken ihre Rechnungen für gewöhnlich als PDF-Datei. E-Mails, bei denen man sich unsicher ist, sollten gar nicht erst geöffnet werden.
Ein vorsichtiges Verhalten ist nicht nur bei E-Mails, sondern allgemein im Umgang mit dem Internet wichtig. Auch auf Websites sollten sich Nutzer stets genau überlegen, was sie anklicken. Häufig sind betrügerische Inhalte sehr geschickt eingebunden, sodass sie auf den ersten Blick nicht erkennbar sind.
Da Locky meistens über Makros in Office-Dokumenten Schaden anrichtet, sollten Makros in Office-Dokumenten standardmäßig deaktiviert sein. Keine seriöse Firma verschickt Rechnungen im Office-Format mit Makros.
Zum Schutz vor Locky-Infektionen ist es wichtig, permanent die Software wie Betriebssystem und insbesondere Browser und Plugins auf dem aktuellsten Stand zu halten.
Um im Falle einer Locky-Infektion die Daten wiederherstellen zu können, sollten Sie regelmäßig Backups anlegen. Dabei ist darauf zu achten, das Backupmedium (z.B. externe Festplatte) nicht permanent mit dem Rechner zu verbinden, da Locky sonst das Backup ebenfalls verschlüsseln könnte. Auf Cloud-Speichern sollten Backups in extra Ordnern liegen, die nicht über einen Clientprogramm (z.B. Dropbox Desktop-Anwendung) permanent mit dem PC synchronisiert werden.
Es kann sich zudem lohnen, ältere Datensicherungen aufzubewahren, falls Locky längere Zeit auf dem System gelauert hat und erst vor kurzem aktiv wurde.
Falls keine Datensicherung vorliegt, bleibt nur die Möglichkeit einer Datenrettung, um verlorene Dateien wiederherzustellen.

In allen Fällen beraten wir Sie gerne zum Thema und zur IT-Sicherheit im Allgemeinen.
Sprechen Sie uns einfach an!