Vorsicht vor Verschlüsselungs-Trojaner: Locky

Seit kurzem ist ein Verschlüsselungs-Trojaner mit dem Namen Locky im Umlauf. Vorerst wurde er vor allem üer Office-Dateien verbreitet, inzwischen verschicken die Täter aber auch Skripte. Einige Unternehmen sind so unfreiwillig zur Anlaufstelle der Locky-Opfer geworden.

Der Verschlüsselungstrojaner wird über Skript-Dateien verbreitet, die täsuchend echt aussehende Rechnungs-Mails anhängen. Zuvor wurden von den Tätern vor allem Office-Dateien mit Makro-Code und Exploit-Kits verwendet, um die SChädlinge unter die Leute zu bringen. Mit der neuen Verbreitungsmethode sind die Cyberkriminiellen den Virenscannern wieder einen Schritt voraus. und Unternehmen werden unfreiwillig zur zentralen Anlaufstelle der Locky-Opfer.

Seit Freitag verschicken die Täter verseuchte Mails über ein Botnet. Der Betreff variert und lautet z.B. Rechnung Nr. 2016_234 und der Absender scheint von dem entsprechenden Unternehmen zu sein. Dabei wird der Empfänger in einwandfreien Deutsch aufgefordert, die im Anhang angefügte Rechnung zu öffnen. Im Anhang befindet sich ein ZIP-Archiv, das eine Javascript-Datei enthält. Falls wer neugierig geworden ist und das Skript ausführt, hat dann auch schon gleich den Verschlüsselungstrojaner eingefangen.

Das Skript ist eigentlich nur ein Downloadskript, dass den Locky-Trojaner nachlädet und auch gleich ausführt. Die Malware sucht gleich mal alle angeschlossenen Festplatten und Netzlaufwerke und verschlüsselt darauf gleich mal alle Dateien. Um nun wieder auf seine Daten zugreifen will, muss Lösegeld in Höhe von rund € 190,00 zahlen.

Maßnahmen vor einer Infektion durch  Locky

  • Regelmäßige Backups: von den wichtigsten Daten regelmäßig Backups anlegen

    . Der Datenträger auf dem die Backups gespeichert sind, dürfen nicht dauerhaft mit dem Rechner verbunden sein, sonst wird dieser auch verschlüsselt.

  • System immer up-to-date halten: Halten Sie Betriebssystem, Office, Browser , Plug-Ins und Sercurity Software immer am aktuellen Stand.
  • Virenscanner aktivieren: Stellen Sie sicher, dass Ihr System von einem Virenscanner geschützt ist und natürlich auch immer auf die aktuellen Siganturen zugreift
  • Marko auf Aufforderung: konfigurieren Sie Microsoft Office so, dass der Makro-Code gar nicht oder wenn notwendig erst nach einer Rückfrage ausgeführt wird.
  • Dateiänhänge von Mails: Öffnen Sie keine Dateianhänge von Mails, an deren Vertrauenswürdigkeit auch nur der geringste Zweifel besteht. Nehmen Sie sich insbesondere vor Rechnungs-Mails in Acht, wenn Sie diese nicht zuordnen können.

Maßnahme nach einer Infektion von Locky

Ist Locky schon aktiv, dann kann man nur versuchen zu retten, was noch zu retten ist
. Hat man den Schädling auf frischer Tat ertappt, dann führen Sie folgende Schritte aus:

  1. Rechner schnellst möglich herunterfahren oder notfalls den Stecker ziehen, um die weitere Verschlüsselung zu stoppen
  2. Starten Sie den Rechner mit einer Antiviren-DVD/-USB-Stick um zu versuchen, den Schädling zu eliminieren. Solche Tools sind z.B.
    • Desinfec’t
    • Avira Rescue System
    • Bitdefender Rescue CD
    • F-Secure Rescue CD
    • Kapersky Rescue Disk
  3. Verschlüsselte Dateien wiederherzustellen:
    • Windows legt automatisch Schattenkopien diverser Dateien an, mit Glück kannn man die verschlüsselte Datei wiederherstellen. Ein Tool das dabei helfen kann, ist der ShadowExplorer. Viele Hoffnungen sollte man sich nicht machen, weil Locky Schattenkopien routinemäßig löscht. Aber mit etwas Glück wurde der Mechanismus noch nicht ausglöst.
    • Mit Forensik Tools, wie Recuva, Autopsy oder photorec können Sie auch versuchen gelöschte Originale zu rekonstruieren.

Unser Tipp: Sollten Sie von Locky betroffen sein, wenden Sie sich an einen Experten, der Sie bei der Behebung des Problems hilft.