Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Gadgets & Lifestyle

Fieser Windows-Schädling Locky: Wie du dich gegen Datenverlust schützen kannst

    Fieser Windows-Schädling Locky: Wie du dich gegen Datenverlust schützen kannst

Locky. (Bild: Matthew Mesa/Medium)

Allein am vergangenen Freitag soll der Krypto-Trojaner Locky in Deutschland 17.000 Rechner infiziert haben. Noch gibt es keinen wirksamen Schutz gegen den fiesen Schädling, aber man kann einiges tun, um sich vor Datenverlust zu schützen.

Locky: Tausende Infektionen in Deutschland

Der Verschlüsselungstrojaner Locky hält die deutsche IT-Welt in Atem. Innerhalb von 24 Stunden soll der Trojaner laut Spiegel Online 17.000 Rechner in Deutschland infiziert haben. IT-Experte Kevin Beaumont spricht sogar von über 5.000 Infektionen pro Stunde. Auch ein Fraunhofer-Institut in Bayreuth soll zu den Opfern gehören. Einmal in das System eingedrungen, verschlüsselt die Ransomware die Dateien des befallenen Computers, die Entschlüsselung ist nur gegen die Zahlung eines Geldbetrags an die Cyberkriminellen möglich. Eine wirksame Abwehr gibt es noch nicht, Nutzer können aber einige Vorkehrungen gegen den möglichen Datenverlust treffen.

Weltweite Verbreitung des Locky-Trojaners. (Grafik: Kevin Beaumont)
Weltweite Verbreitung des Locky-Trojaners. (Grafik: Kevin Beaumont)

Die Infizierung erfolgt über Spam-E-Mails mit einem Word- oder Excel-Dokument im Anhang. Wird dieser geöffnet und entsprechend der Anweisungen ein Makro aktiviert, beginnt der Trojaner mit der Verschlüsselung der Dateien. Allerdings gibt es auch Informationen darüber, dass der Trojaner möglicherweise auf vielen Rechnern schon seit längerer Zeit versteckt und jetzt scharfgeschaltet worden sein könnte. Auch eine Infektion über den Browser soll möglich sein. Angeblich kann Locky schon von einigen Anti-Viren-Programmen erkannt und gelöscht werden, die dann bereits verschlüsselten Dateien können dadurch aber nicht wieder zugänglich gemacht werden.

Locky-Trojaner: Vorsorge und Nachsorge

Wer sicher gehen will, dass die eigenen Dateien auf dem Rechner nicht durch Locky verschlüsselt werden, sollte regelmäßig Backups anlegen. Allerdings muss hierbei darauf geachtet werden, dass der Datenträger nicht dauerhaft mit dem Computer verbunden sein darf, da sonst ebenfalls eine Verschlüsselung darauf möglich ist. Darüber hinaus sollte Microsoft Office so konfiguriert werden, dass Makro-Codes nicht oder nur auf Nachfrage ausgeführt wird. Ist das System schon infiziert, kann man leider nicht mehr allzu viel tun. Tools wie ShadowExplorer könnten – so noch vorhanden – Schattenkopien von Windows wieder zugänglich machen, diese werden aber von Locky im Normalfall gelöscht. Forensik-Tools wie Recuva können möglicherweise gelöschte Originale wiederherstellen. Dass die Systeme immer auf dem neuesten Stand gehalten und eine aktuelle Anti-Viren-Software installiert sein sollte, dürfte ohnehin klar sein.

In jedem Fall sollten betroffene Nutzer die verschlüsselten Dateien aufbewahren, diese sind an der Endung .locky zu erkennen. Möglicherweise wird es in einigen Wochen oder Monaten eine Möglichkeit geben, wie die Dateien wiederherzustellen sind.

via www.heise.de

Finde einen Job, den du liebst

8 Reaktionen
Romano Kleinwächter
Romano Kleinwächter

Ich verstehe nicht warum hier so viel Quatsch geschrieben wird. Wir haben bei uns in der Firma auch genug von solchen E-Mails mit *.doc Files erhalten. Wenn man diese Dinger allein in nem Texteditor öffnet sieht ein Blinder mit Krückstock das dass Malware ist, mir ist unbegreiflich warum prominente Antivirenhersteller und vor allem Freemailer nicht auf die Reihe bekommen.

Antworten
Andreas Hausmann
Andreas Hausmann

Der rasante Anstieg von Bedrohungen im Internet hat mehrere Gründe. Der wichtigste: Wer heute Computer attackieren möchte, muss kein IT-Spezialist sein. Zahlreiche Schädlinge lassen sich inzwischen im Baukastensystem zusammenbasteln. So auch Locky. Die meisten Antivirenprogramme helfen nur bedingt. Der Computernutzer muss selbst tätig werden, um sich vor solche Schädlinge schützen zu können. Keine Win-Adminrechte, aktive Inhalte im Browser deaktivieren, Browser und E-Mail Programm isoliert ausführen... Eine tolle Zusammenfassung auf https://www.bleib-virenfrei.de/#start

Antworten
guest
guest

In vielen Fällen würde es warscheinlich schon reichen NICHT tätig zu werden und eben den Anhang der Mail von unbekanntem Sender nicht zu öffnen. Oder prinzipiell einfach mal die Absender-Adresse anzuschauen und nicht auf den angezeigten Namen zu achten.

Nur Dateien von bekannten Servern herunterladen und Adblocker(auch wenns scheiße für viele Betreiber ist. Solange ich der Website nicht traue bleibt der Blocker an) anmachen sollte den restlichen Dreck von den Websites auch noch fernhalten.

Die restlichen deiner Tipps sollte jeder unerfahrene Nutzer generell zu Herzen nehmen, aber gerade die werden diese Tipps warscheinlich niemals finden ;)

Antworten
Spambekämpfung wäre nett
Spambekämpfung wäre nett

@hpreckel: Danke für Antwort. Die Studentenversionen hatte ich vergessen und bei 365 dachte ich, das wäre Browser-Only und hat keinen direkten Zugang aufs Dateisystem oder halt nur was Javascripte dürfen aber M$ und ActiveX usw. waren ja ein Grund wieso man sowas besser ausschaltet und WebOffice ein Grund wieso man es einschalten muss :-(

Das mit den Absendern war nur als Lernhilfe für Rentner, Hausfrauen,... weil im Handy oft nur "Volksbank-support" "Paypal-Information" ... steht aber wenn man die @-Adresse des Absenders daneben schreiben würde schnell ein Lerneffekt stattfände, bei Emails vorsichtig zu sein.

Ähnliches mit dem Aufruf an die Freemailer. Das war allgemein gegen Spam und nicht speziell für Locky. So wie es nur 14 oder so Witze gibt, kann man Spam vermutlich auch in 8-15 Sorten einstufen und jede Sorte gezielt ausdünnen, erkennen und verbrennen(deleten). Da braucht man keinen Nobelpreis für. Das ist wie Tierfallen gegen Spinnen, Silberfischchen, Ameisen, Schnecken, Ratten, Mäuse, Siebenschläfer aber auch Füchse, Katzen usw. finden sich bei Amazon. Vom Grundprinzip her vielleicht 5-10 verschiedene Bauformen. Da Spam was erreichen will, kann man eine Unterscheidung nach der Art der Aktion treffen: Link klicken, Anhang öffnen, Email beantworten/schreiben, Telefon/Fax-Nummer aufrufen,... und daran wohl Ausdünnungs- und Erkennungs-Methoden für Massen-Spam aufbauen und ggf. (wenn auch nicht immer) z.b. die Botnetz-PC-Inhaber vom Provider informieren lassen.

Wenn ich was bei Virustotal hochlade ist es meist was Holger Husmann beschreibt. Und fast nie bin ich der erste aber viel älter als einen Tag ist der ERSTE Hochladen dort oft leider auch nicht. D.h. bei Virustotal dürften schon Exemplare liegen weil nicht nur ich gerne Anhänge dort zum Testen Uploaden.
Allerdings lohnte es (weil Google als Chef von Virustotal desinteressiert zu sein scheint) bei .doc/.word/.xls/.xlsx/.pdf meist bisher (also vor Locky) halt nicht weil das bisher kaum breitflächig genutzt wurde sondern die von Holger Husmann beschriebenen .exe bzw. .exe in Zip und Doppel-Zips der Haupt-Anteil waren.

Wenn er sich nach dem crypten selber deleted wie (1), findet man es wohl überwiegend in Backups und muss mühseliger als sonst den Weg zurückverfolgen. Wenn es so wichtig ist, sollte das aber recht einfach gehen. Davon abgesehen haben die Sicherheits-Firmen doch alle zig Honeypots, Honey-Spam-Einsammel-Adressen usw. und wissen jetzt auch eher wonach sie suchen müssen oder was sie evtl. vor Monaten schon ignoriert hatten weil es "nur" eine Word-Datei war.
Spear-Phising auf Einzelne ist schwerer nachzuvollziehen als wenn zigtausende betroffen sind.

Das ganze System ist desinteressiert und Bonis für Cashburnern in Hochpreis-Mietgebieten sind wohl wichtiger. Tausende böse Apps bei Google Playstore. google....?url=...-Spam-Emails seit nicht all zu lange usw. Alles Dinge die schnell zu filtern wären sobald man sie erkannt hat.
Die Seuche bekämpft man an der Ursache sobald man sie sieht. Grundregel im Schrebergarten wo alles lecker wächst und hübsch bunt blüht während es uns dank Regierung nicht so gut geht weil Presse und Politiker lieber erst hinterher Probleme viel teurer lösen als vorher schlau zu sein...

(1) http://www.golem.de/news/poseidon-gruppe-ueber-ein-jahrzehnt-internationale-cyberattacken-1602-119014.html
Spam-Mails sind auch viel besser lesbar als die meisten HTML-Business-Mails von bezahlten Marketing-Mitarbeitern. Und die Locky-Entwickler haben anscheinend das Konzept der Poseidon-Gruppe innerhalb weniger Wochen breitflächig realisiert oder es ist Zufall das die Beschreibungen recht ähnlich (wenn auch sicher nicht gleich) sind. Deren IT-Projekte funktionieren alle. Nennt drei erfolgreiche deutsche IT-Projekte. Na also.
Die Motivation für Qualität und Sicherheit und Leistung ist wohl zu niedrig. Bei Menschen arbeitet das Immunsystem autonom und überwiegend wirksam (ausser bei Krebs und Auto-Immun-Erkrankungen oder neuen Viren-Stämmen) und muss nicht um Budgets betteln oder lahmen Programmierern tausend Mal erklären wieso man bestimmte Dinge so nicht implementiert um dann aus dem Job gemobbed zu werden weil Qualität und Leistung nicht beliebt ist wie man an Googles meisten Neben-Projekten und Aufkäufen fast täglich sehen kann. Die weißen Blutkörperchen erledigen jeden Feind autonom und selbsständig so wie Katzen Mäuse fangen... Da aber die Presse ihrer Aufgabe als weißes Blutkörperchen zur Erkennung und Benennung von Nieten und Parasiten nicht nachkommt, gehts uns jedes Jahr nicht besser und die Steuern steigen vermutlich seit Jahrzehnten...

Das Spam-Thema interessiert fast keinen wirksam. Erst wenn herauskommt das Botnetze vielleicht schuld am Ruckeln von Netflix, PrimeVideo und natürlich Youtube sind, tut sich vielleicht PR-Meldungsmäßig etwas...

Und das man seine Daten nirgendwo ablegen sollte beweisen aktuell ja die gehackten Krankenhaus-Netzwerke in USA und Deutschland und seit Jahren die Meldungen über gehackte Kreditkarten-Bezahlungen bei Hotel-Ketten oder Supermarkt-Ketten usw.. Vor einem Monat wurde man noch für Datensparsamkeit gemobbed und nicht ernst genommen. Doch morgen ist es wieder mal vergessen.

Antworten
hpreckel
hpreckel

@Spambekämpfung wäre nett
Locky wird anscheinend auf 2 Arten verbreitet: Office-Dateien mit Makro oder beim surf-by über bestimmte Webseiten.

Office-Viewer wie der Word-Viewer sind nicht betroffen, da diese kein Makro ausführen können. Auch andere Office-Pakete (OpenOffice/LibreOffice; SoftMaker Office; etc. pp.) sind sicher, da VBA-Makros nicht ausgeführt werden können.

MS-Office ist auch im privaten Bereich sehr verbreitet. Office für Home and Student oder Office365 sind da die verwendeten Produkte. Oder eben über eine Firma die einen Vertrag mit MS hat, Office Professional für 5-17 EUR ohne Datenträger. Kenne ich auch genügend von.

Locky scheint zeitversetzt zu arbeiten. Das System kann also bereits vor Monaten infiziert worden sein, aber der Virus selber ist erst am Freitag scharf geschaltet worden. Emails im Archiv können somit grundsätzlich auch verseucht sein.

Nein, die Freemailer und andere können darauf nicht reagieren, da der Viren-Code anscheinend noch nicht entdeckt / entschlüsselt wurde. Absender scheidet auch aus, da nicht alles aus RU oder sonst wo kommt. Und Deutsch können die Programmierer mittlerweile auch.

Etwas helfen können evtl. Anti-Viren-Programme mit Ransomware-Schutz. Damit kann man zumindest die privaten Ordner überwachen lassen und vor unbefugten Zugriff durch eine Blacklist an Programmen schützen.

Ansonsten scheint Beta5 von Malwarebytes da auch gute Dienste zu leisten.

Antworten
Holger Husmann
Holger Husmann

Ich sehe die meisten Versuche bei Email von mir unbekannten Absendern die Word Dokumente, mit der Bezeichnung invoice. Ihr solltet diese Email sofort löschen ohne die Mail auch nur anzuklicken . Danach ist es sinnvoll eure Ordner Gelöschte Elemente löschen und damit diese Email aus dem System endgültig zu löschen.

Antworten
Spambekämpfung wäre nett
Spambekämpfung wäre nett

Es gibt viele Leute im Vertrieb oder Business wo Dokumente leider immer noch ausgetauscht bzw. gemailt werden. Die Mail-Clients sind ja auch zu doof, beide Absender-Adresse "Hans Mustermann" und "fsklhgsalgkjhg@böserSpamDomainMailDomain.com" nebeneinander anzuzeigen damit man sofort sieht das "klfhsdf@yahoo.com" vermutlich nicht "Paypal Support" ist auch wenn beides nebeneinander im Absender steht. Das würde 90% des Spams erkennbar machen. Aber nein. Bonimanagern ist es wohl egal. Die lassen ihre Emails vielleicht von Praktikanten ausdrucken...
Manche Freemailanbieter schreiben wenigstens die Links DAHINTER aus so das man lernt das oft eine Falle hinter einen vermeintlich sauberen Klickstelle liegt.

Aber M$-Office haben die meisten Privatleute nicht. Früher gabs ein Office-Mini mit richtigem Word, aber MicroExcel und m.W. ohne Powerpoint aber mit Routenplaner und Encarta oder wie das M$-Lexikon hiess.
Betrifft also wohl mehr Firmen.

Sind die kostenlosen offiziellen M$-Wordviewer und M$-Excelviewer betroffen ?
Wenn ich Presse wäre, hätte ich längst gefragt:
- Freemail-Anbieter ob die Seuche erkannt und gebannt wird. Auch und insbesondere bei ARCHIVIERTEN Mails oder was noch in den Ordnern herumliegt und eben nicht nur bei frisch reingekommenen Emails und die alte Seuche kann nach dem Urlaub zuschlagen weil sie übersehen wurde ?
- Google-Docs/Google-Apps oder womit man sonst in Emails abgelegte Dokumente unterwegs am Tablett/Handy/... öffnet ?
- Was ist mit Apple und iOS ?
- Google hatte vor einer Weile Virustotal gekauft. Die kennen die Namen haargenau. Fast immer wenn ich vermutlich verseuchte Mail-Anhänge dort zum Test und zur Dokumentation hochlade war jemand schneller als ich aber oft nur einen halben Tag.

M.E. hat seit dem Internet-Safer-Day vor ein paar Wochen der Spam extrem spürbar abgenommen. Es gibt zwar immer noch welchen aber manche Freemail-Anbieter müssen evtl mit dem vorhandenen Plattenplatz auskommen statt weiter Cash zu burnen oder können nicht immer mehr Bandbreite ordern und der Spam wird endlich endlich endlich doch mal wirksam bekämpft was schon unter rot-grün genau so gut hätte stattfinden können. Denn 95% des Spams ist immer gleich und wie Spaghetti können Test-Accounts die Spams erkennen und die gleichartigen (gleiches Exe-File, nicht gleiches Zip-File, so schlau sind die Spammer schon, gleiche Ziel-Links, Gleiche Texte, Gleiche Antwort-Email-Adressen,...) erkennen und bei allen normalen Kunden deleten oder in den Spam-Ordner verschieben und die Botnetz-Spam-Absende-Rechner an die Provider, Google, Amazon usw. outen und verpetzen. Weil niemand ehrliches diesen Test-Accounts schreibt, muss alles was dort reinkommt Referenz zum deleten sein. Plattenbausiedlungen könnten ungenutzte Briefkästen wo nur Werbung drin landet also auslesen und per Roboter die gleichartige Werbung aus den anderen Briefkästen auf Wunsch herausziehen lassen. Die Idee hat sich AOL oder so eine Weile daraufhin damals patentieren lassen glaube ich.

Antworten
Fabian
Fabian

"Eine wirksame Abwehr gibt es noch nicht"... aha, und warum sollte ich Excel Tabellen aufmachen, die ich nicht angefordert habe?! Ich glaube, das ist schon eine wirksame Abwehr...

Antworten

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen