Cyber AttackInfos und Tipps von Ihrem IT-Dienstleister

In fast allen Medien wird über den Krypto-Trojaner Locky gesprochen. Immer mehr Fälle des Trojaners Locky werden in Deutschland bekannt.

Als Ihr IT-Dienstleister ist es unsere Aufgabe, Ihnen eine Übersicht, eine Einschätzung und unser Know-How zur Gefahrenabwehr anzubieten. Bei in der Presse angegeben, 5.000 Neuinfektionen in der Stunde, ist das Risiko stark wachsend, dass auch Sie eine solche Infektionswelle betreffen könnte.

Nun sind Verschlüsselungstrojaner nicht neu, aber die Qualität nimmt dramatisch zu. Aus diesem Grund ist Handeln angesagt.

Was macht der Verschlüsselungstrojaner? Was macht ihn so gefährlich?

Verbreitet wird der Krypto-Trojaner Locky oder Erpressungstrojaner aktuell am häufigsten per E-Mail, zum Beispiel erhalten Sie erfundene Rechnungen oder ähnliches. Die im Anhang befindliche Office-Datei mit Makro-Code löst dann die Infektion aus. Das Dokument an sich ist meist gar nicht gefährlich, deshalb ist es auch so schwer zu erkennen. Erst der Makro-Code lädt den eigentlichen Virus im Hintergrund herunter.

Neben verseuchten Dokumenten werden auch Schwachstellen in Browsern oder Plug-Ins, wie z. B. Flash, zunehmend zum Einschleusen des Virus verwendet.

Einmal in das System eingedrungen, verschlüsselt der Krypto-Trojaner Locky die Dateien des befallenen Computers. Die Dokumente und Dateien werden in hash.locky-Dateien umgewandelt und somit verschlüsselt. Es werden allerdings nicht nur alle lokalen Dateien verschlüsselt, sondern auch alles, was er über das interne Netzwerk erreicht. Laut BleepingComputer erreicht der Schädling sogar Netzwerkfreigaben, die aktuell nicht ins System eingebunden sind.

Zudem sollten Sie auch Ihre Cloud-Speicher im Hinterkopf behalten. Werden Ordner des infizierten Rechners in die Cloud synchronisiert, werden automatisch – zusätzlich zu den lokalen Originalen – auch die Kopien in der Cloud durch verschlüsselte Versionen ersetzt.

Sind die Dateien erst einmal verschlüsselt, gibt es aktuell noch keine Lösung, um die betroffenen Dateien wieder zu entschlüsseln, ohne das Lösegeld an die Erpresser zu zahlen.

Was können Sie als Unternehmen tun, um sich vor potenziellen Angriffen zu schützen?

Gefährliche Dokumente:

Um sich vor den potenziell gefährlichen Dokumenten zu schützen, sollten Sie die automatische Ausführung von eingebetteten Makro-Codes abschalten. Eine Schritt-für-Schritt-Anleitung finden Sie auf heise.de.

Zum anderen sollten Sie vorerst über Ihre Firewall alle einkommende Dokumente blockieren lassen. So können Ihre Mitarbeiter nicht aus Versehen gleich beim ersten Klick die Infektion auslösen.

Tipp für die Mitarbeiter: Halten Sie lieber vor der Freigabe bzw. vor dem Öffnen von Dokumenten eines unbekannten Absenders Rücksprache mit Ihren Technikern! Sollten Sie sich dennoch nicht sicher sein, ob es sich wirklich um eine vergessene Rechnung oder ähnliches handelt, kontaktieren Sie im Zweifelsfall Ihre Geschäftspartner und halten Sie Rücksprache mit ihnen.

Schalten Sie zudem vorsichtshalber die automatische Synchronisation zur Ihrem Cloud-Speicher aus. So können nicht auch die Dateien in der Cloud infiziert werden.

Sicherheitslücken im Browser:

Damit über Exploit-Kits, also bekannte Sicherheitslücken im Browser, keine Trojaner in Ihr Netzwerk gelangen, sollten Sie Ihre Systeme immer auf dem aktuellen Patch-Stand halten. Das schließt natürlich nur alle bekannten Sicherheitslücken aus. Zudem sollten Sie Anwendungen wie Flash unternehmensweit blockieren.

Schutz durch Security-Programme:

Eine Reihe an Anti-Viren-Programmen erkennen den Krypto-Trojaner Locky mittlerweile. Die infizierte Mail kann durch die Anti-Viren-Software zwar auch entfernt werden, jedoch bleiben die Dateien dann immer noch verschlüsselt.

Neben allen möglichen Schutzmaßnahmen ist dennoch die Wachsamkeit der Benutzer gefragt. Einige grundlegende und vorbeugende Verhaltensregeln finden Sie HIER.

Kaspersky hat bereits für andere Verschlüsselungstrojaner ein Tool zur Wiederherstellung bereitgestellt. Zwar können über dieses Tool nicht alle Verschlüsselungen wieder gelöst werden, jedoch hilft es bei einigen Verschlüsselungen.

Auf dieser Webseite können Sie testen, ob Ihre Daten mit dem Kaspersky Tool wieder hergestellt werden können.

Hier geht es zur Test-Webseite.

Regelmäßige Datensicherung:

Neben allen Schutzmaßnahmen sollten Sie die regelmäßigen Backups aller wichtigen Dateien nicht vergessen. Diese sollten am besten an einem Ort liegen, den ein Trojaner gar nicht, bzw. möglichst schwer, erreichen kann, z. B. externe Laufwerke und Festplatten. Allerdings sollten Sie dabei beachten, den Datenträger nicht dauerhaft angeschlossen zu haben.

Sonstige Präventionsmaßnahmen:

Um das Downloaden im Hintergrund von gefährlichen Dateien zu vermeiden, ist es sinnvoll, erst einmal sämtlichen Webtraffic ausschließlich über den Proxy-Server laufen zu lassen. Dabei sollten Sie jedoch darauf achten, die Konfiguration so einzustellen, dass der Proxy-Server auch in der Lage ist, den verschlüsselten Content von https-Seiten zu scannen.

Auch Kaspersky hat einige Hilfestellungen im Umgang und Prävention vor Ransomware-Trojanern veröffentlicht:

Was tun, wenn ich bereits betroffen bin?

Leider gibt es aktuell keine Entschlüsselungssoftware für Betroffene. Zudem ist der Trojaner personalisiert. Für jeden Betroffenen gibt es einen eigenen Entschlüsselungskey. Es können also nur jene Dateien entschlüsselt werden, die auf dem System des zahlenden Nutzers verschlüsselt wurden.

Es gibt Tools wie ShadowExplorer, diese können (falls noch vorhanden) Schattenkopien von Windows wieder zugänglich machen. Im Normalfall werden diese aber durch Locky gelöscht. Forensik-Tools wie Recuva können möglicherweise gelöschte Originale wiederherstellen. Besser ist es natürlich, vorher regelmäßig Backups der Systeme sicher zu stellen, um im Zweifelsfall die betroffenen Teile des Netzwerks wieder herstellen zu können.

Gerne prüfen wir gemeinsam mit Ihnen, wie wir Ihr Unternehmen bestmöglich schützen können. Sie erreichen uns unter .

Bitte antworten Sie nicht an diesen Newsletter-Absender! Wir freuen wir uns über Ihre Anregungen per E-Mail an .

Ihr Team der bitbone AG

← zurück