Heute geht es um den Verschlüsselungstrojaner Locky

Eigentlich wollte ich Euch von einem meiner Lieblingstools berichten, aber da wieder mit einer großen Locky Welle zu rechnen ist, dachte ich mir, dass es sinnvoller ist, darüber zu berichten.

Im Februar 2016 war Locky sehr aktiv. Locky kommt als Dateianhang auf Euer System.

Vor wenigen Tagen kam die Meldung, dass das Necurs-Botnetz wieder aktiv verteilt!

Erst Ende Mai wurde die Verteilung von Locky über das Necurs-Botnetz eingestellt.

Der Dateianhang gibt sich als Bewerbungs- oder Rechnungsdokument aus. In dem Worddokument befindet sich ein Makro (Makros sind kleine Programme innerhalb der Textverarbeitung, um Dokumente zum Beispiel automatisch mit Rechnungsdaten zu füllen), welches Code enthält, der eine Verbindungs zum Botnetz aufbaut und den Schadecode nachlädt.

Die Entwickler von Locky haben Locky verbessert, so dass eine Erkennung noch schwerer fällt.

Locky erkennt nun auch, ob es in einer virtuellen Umgebung läuft. Das macht eine Analyse des Schädlings viel schwieriger.

Im Februar noch hatte Locky eine Quote von 5000 Rechnern pro Stunde.

Bis jetzt gibt es kein Tool welches die verschlüsselten Daten kostenlos wiederherstellt.

Was ist eigentlich ein Botnetz?

Ein Botnetz ist ein Zusammenschluss von infizierten / kompromittierten Rechnern. Aufgebaut wird ein solches Netzwerk von einzelnen Personen oder auch Gruppen. Ein kompromittierte Rechner innerhalb des Botnetzes wird Bot oder auch Zombie genannt.
Die Infizierung erfolt meist pber populäre Seiten. Es reicht oftmals schon aus, wenn eine manipulierte Werbeanzeige dargestellt wird. Dabei werden Sicherheitslüken in den Internetbrowsern ausgenutzt um die Rechner zu infizieren und sie zum Botnetz hinzuzufügen.

Wie erfolgt die Infizierung mit Locky?

Öffnet man einen infizierte Dateiinhalt, wird der Rechner augenblicklich verschlüsselt.
Die Word Datei wird oftmals nicht als „infiziert“ angesehen. Denn der eigentliche Schadcode wird erst über ein Makro nachgeladen. Dadurch können Virenscanner nicht erkennen, dass es sich um Locky handelt. Speziell Microsoft Word ist gefährdet, wer Libre Office oder Open Office nutzt, ist noch au der sicheren Seite.
Dadurch dass sich die Entwickler immer wieder neue Varianten ausdenken, sind Virenscanner bis zu 12 Stunden blind für die neuen Versionen.

Wie kann man sich vor einer Infizierung mit Locky schützen?

Betriebssystem immer aktuell halten
Bowser und deren Erweiterung immer auf dem aktuellsten Stand haten.
Virensscanner mehrmals täglich aktualisieren.
Ein Programm mit Verhaltenserkennung installieren (z.B. Malwarebytes Anti-Ransomware)
Makros innerhalb Word deaktivieren.
Daten sichern! Am Besten den kompletten Rechner! Ich empfehle hierzu Veeam Endpoint Backup Free
Keine Dateianhänge, speziell Worddateien öffnen! Redet mit dem Absender, dass er Euch PDF Dateien zur Verfügung stellt.
Speichert die Dateianhänge lokal auf dem Rechner und prüft diese über googles Vrustotal.