ETES-Weblog

Datenkidnapping im großen Stil

Gepostet am 24. Februar 2016 von Ioannis Dimas in „Know-How“ Kommentare 0

Ioannis Dimas
Vorratsdatenspeicherung wieder im Gespräch

Seit einigen Wochen verbreiten sich die Ransomware „TeslaCrypt“ und jetzt verstärkt seit einigen Tagen auch „Locky“. Die Rede ist in den Meldungen der Sicherheitsexperten von ca. 5.000 – 5.300 Neuinfektionen pro Stunde!

Bei solchen Zahlen, besteht immer die Gefahr zu den Betroffenen zu gehören. Umso wichtiger ist es daher, sich zu informieren und aufmerksam zu agieren. 

Wie bei „echten“ Kidnappern

Die Daten werden von Locky auf den infizierten Computern verschlüsselt und erst nach Zahlung eines "Lösegeldes" wieder freigegeben. Nun ja, das kann man machen, sollte man aber aus meiner Sicht, aus folgenden Gründen, nicht tun: 
1. Die Täter werden ermutigt, weitere Erpressungen zu starten
2. Nach der „Lösegeldzahlung“ garantiert keiner, dass die Daten entschlüsselt werden 

Nach Angaben der Sicherheitsexperten werden die Rechner über Word-Dokumente infiziert. Das schädliche Makro befindet sich in angeblichen Rechnungen. Besonders perfide: Der vermeintliche Inhalt wird als Buchstabensalat angezeigt, dem die Aufforderung vorangestellt ist: "Bitte Makros aktivieren, wenn die Datencodierung falsch ist." Das Makro lädt dann den eigentlichen Trojaner ladybi.exe herunter, der anschließend die Dokumente in hash.locky-Dateien verschlüsselt, den Bildschirmhintergrund ändert sowie weitere Dateien herunterlädt und öffnet.

Berichte zufolge erreicht der Trojaner sogar Netzwerke, die zum Zeitpunkt des Befalls nicht mit dem lokalen Laufwerk gemappt (zugewiesen) sind. Beobachtet wurde ebenfalls, dass der Trojaner sich auch über Excel-Dateien verbreitet. In einer halben Stunde seien 500 infizierte Mails in einer speziell angelegten Honeypot-Domain des luxemburgischen CERT angekommen.

Kaspersky berichtet, das sich das Erpresserprogramm nicht nur über infizierte E-Mails verbreitet. "Zudem haben wir auch einige legitime Websites entdeckt, auf denen die Locky-Schadsoftware platziert wird. Besucht ein Nutzer - mit entsprechenden Software-Schwachstellen auf seinem Rechner - eine solche Seite, versucht sich Locky automatisch auf diesem Rechner zu installieren", teilte das Unternehmen am Freitag mit.

Was ist also zu tun, um sich vor Locky und Ähnlicher Schadsoftware zu schützen?

  • Sichern Sie regelmäßig manuell oder mit Hilfe einer Backup-Software ihre wichtigen Daten auf einer, nicht dauerhaft angeschlossenen, externen Festplatte - da diese sonst ebenfalls verschlüsselt wird!
  • Halten Sie Ihre Systeme, insbesondere ihr Betriebssystem, Office, Browser und Plug-Ins auf dem aktuellen und somit sichersten Stand.
  • Stellen Sie sicher, dass Ihr Virenscanner auf die aktuellen Signaturen zurückgreift um Ihr System effektiv zu schützen.
  • Stellen Sie sicher, dass Ihr Microsoft Office so konfiguriert ist, das Macros nicht automatisch ausgeführt werden, sondern wenn überhaupt erst nach einer Rückfrage.
  • Überlegen Sie, ob Macro-Code überhaupt notwendig ist für Ihre Arbeit mit der betreffenden Datei und wenn, ob die Datei von einer vertrauenswürdigen Quelle stammt.
  • Öffnen Sie keine Dateianhänge von Mails! Öffnen Sie diese erst wenn Sie sicher sind, dass die Quelle vertrauenswürdig ist.
  • Nehmen Sie sich in Acht vor Dateien, besonders wenn es sich um Rechnungsanhänge handeln, die sie nicht zuordnen können.

Was kann getan werden, wenn mein System schon befallen wurde?

Ist Locky bereits aktiv, kann man nur noch versuchen den Schaden zu begrenzen. Wenn man Glück hat und Locky beim Arbeiten erwischt, sollte man das Windowssystem sofort herunter fahren. Zugegebener Maßen dauert dieser Vorgang leider auch seine Zeit. Den Stecker des Rechners ziehen oder das Laptop von den Energiequellen (Batterie & Stecker) trennen, sollte die Verschlüsselung stoppen – sofern man schnell war. Anschließend den Rechner mit einer aktuellen Antivieren-DVD starten und versuchen den Schädling zu eliminieren. Mit etwas Glück lassen sich die Daten, aus den von Microsoft automatisch angelegten Schatten-Dateien wieder herstellen. Für viele Anwender ist das wiederherstellen des Systems eine Herausforderung, sich professionell dabei helfen zu lassen oder das System von einem Experten wieder herzustellen ist sicherlich eine gute Option.

Wenn keine Maßnahme geholfen hat, sollten Sie die verschlüsselten Dateien aufbewahren. Es kam in der Vergangenheit schon mehrfach vor, dass nach einiger Zeit Methoden bekannt wurden, wie Verschlüsselungen geknackt werden konnten.

Bei Fragen rund um Datenschutz stehen wir Ihnen gerne zur Verfügung.

Tags dieses Beitrages: Datenschutz, IT-Sicherheit, Microsoft, Microsoft Office, Software, Virenschutz
Trackback-URL: https://www.etes.de/system/modules/trackback/trackback.php?id=2742

Einen Kommentar schreiben

Was ist die Summe aus 4 und 6?