Schutzmaßnahmen gegen Locky, TeslaCrypt, Cryptolocker und Co.
Sogenannte Ransomware erfreut sich seit einigen Jahren steigender Beliebtheit. Kurz zusammengefasst handelt es sich dabei um Schadprogramme, welche private Daten auf Computern verschlüsseln und zur Entschlüsselung ein Lösegeld fordern. Aus diesem Grund wird Ransomware oftmals auch als Erpressungs-Trojaner, Verschlüsselungs-Trojaner oder Krypto-Trojaner bezeichnet.
Locky
Seit ca. zwei Wochen ist ein neuer Verschlüsselungs-Trojaner namens Locky aktiv, welcher sehr aggressiv verbreitet wird. Zeitweise lag die Zahl der Neuinfektionen in Deutschland bei über 5.000 pro Stunde. Locky wird fast ausschließlich per E-Mail verbreitet. Oft handelt es sich dabei um erfundene Rechnungen, die als Office-Dokument mit Makro-Code ausgeliefert werden. Erst durch die Ausführung des Makro-Codes wird der eigentliche Trojaner heruntergeladen und ausgeführt, welcher dann als EXE-Datei mit der Verschlüsselung beginnt. Neue Varianten werden allerdings mittlerweile auch als JavaScript-Datei oder Batch-Datei versendet. Locky durchsucht alle angeschlossenen Festplatten, Netzwerkfreigaben und externe Medien und verschlüsselt eine Vielzahl an Dateien. Unter anderem hat es Locky auf Office-Dateien, Bilder, Audio- und Videodateien, Quellcode und Zertifikate abgesehen. Insgesamt verschlüsselt die Ransomware Dateien mit über 150 Endungen. Die verschlüsselten Dateien erhalten kryptische Namen und sind an der Endung “.locky” zu erkennen. Außerdem befindet sich im Ordner eine Datei namens “_Locky_recover_instructions.txt”, die weitere Informationen zum Lösegeld bereithält. Darüber hinaus versucht Locky auch noch sämtliche Schattenkopien zu löschen.
Schutzmaßnahmen
Gegenwärtig gibt es keine Möglichkeit die verschlüsselten Dateien ohne Lösegeld zu retten. Selbst bei einer Lösegeldzahlung ist aber nicht garantiert, dass man anschließend den zur Entschlüsselung benötigten Schlüssel erhält. Aus diesem Grund sollte man so gut es geht vorsorgen. Im besten Fall richtet die Ransomware dann trotz Ausführung keinen oder nur geringen Schaden an.
Folgende Grundsätze sollten immer eingehalten werden:
- Windows-Benutzer ist kein lokaler Administrator
- Windows UAC ist aktiviert
- Windows Firewall ist aktiviert
- aktueller Virenschutz (Signaturen sind nicht älter als 12 Stunden)
- aktuelles Betriebssystem (zeitnahe Installation sicherheitsrelevanter Updates)
- aktuelle Software (insbesondere E-Mail-Client, Browser, Office-Programme, PDF-Reader, Flash und Java)
Speziell im Fall Locky sollten folgende Sicherheitsvorkehrungen getroffen werden:
- Makros in Microsoft Office deaktivieren oder zumindest so konfigurieren, dass Makros erst nach Rückfrage und nur bei Dokumenten aus vertrauenswürdigen Quellen ausgeführt werden
- Windows Scripting Host deaktivieren
- AppLocker (nur bei Enterprise bzw. Ultimate vorhanden) oder Softwareeinschränkungen via Gruppenrichtlinien konfigurieren
- zweifelhafte Mail-Anhänge auf keinen Fall öffnen (vor allem bei nicht zuordenbaren Rechnungen ist Vorsicht geboten!)
- regelmäßige Backups der wichtigen Daten anfertigen
- Backup-Medium nur beim Sichern der Daten verbinden (ansonsten kann Locky auch das Backup verschlüsseln!)
Ist es schon zu spät und Locky hat schon zugeschlagen sollten die verschlüsselten Dateien dennoch behalten werden. Es besteht immer die Hoffnung, dass die Verschlüsselung der Ransomware nach einigen Wochen geknackt wird.
Quellen
- https://www.frankysweb.de/clients-vor-infektion-mit-ransomware-schuetzen-locky-cryptolocker/
- http://www.heise.de/security/meldung/Krypto-Trojaner-Locky-Was-tun-gegen-den-Windows-Schaedling-3112408.html
- http://www.3dcenter.org/artikel/drei-einfache-schutzmassnahmen-gegen-locky
Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen
Besser: Nicht Windows nutzen.
Noch besser: pauschale Aussagen von irgendwelchen Fanboys oder Hatern ignorieren.