SfS - Sicherheitsberater für Senioren
Internet - Trojaner Locky
© Siegfried Fröhlich 2015, 2016, 2017, 2018

Bitte beachten Sie:

Schauen Sie sich den Inhalt einer E-Mail genau an. Öffnen Sie nicht jeden Anhang einer E-Mail. Klicken Sie nicht auf jeden Link in einer E-Mail.
Ransomware Erpresservirus “Locky” Derzeit   ist   der   Erpresservirus   „Locky“   sehr   aktiv.   Er   verschlüsselt verschiedene Dateien auf der Festplatte, löscht die Originale und zeigt    eine    Meldung    an,    in    der    Lösegeld    gefordert    wird.    Nach Zahlung     der     geforderten     Summe     in     „Bitcoins“     (lässt     sich     nicht nachvollziehen   an   wen   die   Zahlung   geht)   sollen   die   Opfer   eine   Schlüssel   zur Wiederherstellung der Daten erhalten. Nach   aktuellen   Auskünften   des   Antivirusherstellers   Kaspersky   Lab   sind   die   Länder   Deutschland   und Frankreich   derzeit   die   am   stärksten   betroffenen   Länder.   Locky   soll   derzeit   stündlich   etwa   5000 Rechner    neu    infizieren.    Nach    Informationen    von    Kaspersky    Lap    sind    derzeit    bereits    60 unterschiedliche Locky-Varianten aktiv. Verbreitungswege von Locky Eine   Verbreitungsmöglichkeit   sind   E-Mails   mit   Office-Dateien   (Word   und   Excel)   im   Anhang.   Die Office-Dateien   enthalten   ein   Makro,   welches   den   Schädling   nachlädt.   Es   gibt   auch   E-Mails   deren Anhang   aus   einer   ZIP-Datei   (ZIP-Archiv)   besteht,   welche   eine   Javascript-Datei   (.js)   enthält.   Öffnet man   diesen   Anhang   im   Internet-Browser,   wird   durch   das   Script   der   Schädling   geladen.   Die   Anhänge der     E-Mails     sind     sehr     untertschiedlich.     Es     kann     eine     angebliche     Rechnung     sein,     eine Bestellbestätigung,   Mahnung   oder   auch   eine   MMS.   Derzeit   (08.   KW)   ist   eine   gefälschte   Mail   des Telefonanbieters    Sipgate    mit    einer    ZIP-Datei    im    Anhang    unterwegs,    welche    eine    Faxnachricht enthalten soll. Verbreitung durch Office-Dateien Die    Word-Dateien    enthalten    ein    VBA-Makro.    Wird    so    eine    Datei    geöffnet,    erscheint    zunächst „Zeichensalat“.   Ist   die   Makro-Funktion   in   den   Office-Dateien   gesperrt,   werden   Sie   aufgefordert Makros   zuzulassen.   Das   VBA-Makro   lädt   nun   einen   Downloader   auf   den   Rechner,   welcher   den Schädling „Locky“ herunter lädt und startet. Was macht Locky Locky   nimmt   Kontakt   mit   dem   Command   &   Control-Server   auf.   Vom   Server   wird   für   den   Rechner   ein spezielles   Schlüsselpaar   generiert.   Der   öffentliche   Schlüssel   wird   von   Locky   zur   Verschlüsselung   der Dateien   benutzt.   Der   private   Schlüssel   welcher   zur   Entschlüsselung   benötigt   wird,   verbleibt   auf   dem Server. Von   Locky   werden   alle   Verzeichnisse   auf   den   angeschlossenen   Laufwerken   durchsucht,   auch   die Netzwerkfreigaben.   Die   gefundenen   Dateien   werden   verschlüsselt,   die   Originaldateien   gelöscht.   Die verschlüsselten    Dateien    tragen    die    Endung    „.locky“.    Sind    die    Daten    verschlüsselt,    wird    die Erpressermeldung    ( siehe    Bild )    angezeigt.    Gefordert    wird    das    Lösegeld    in    Bitcoins    (BTC).    Die Zahlung   wird   im   sogenannten   Darknet,   welches   nur   über   Tor   erreichbar   ist,   abgewickelt.   Nach Zahlung soll man ein Entschlüsselungs-Tool erhalten. Schutz Öffnen Sie keine Mail-Anhänge deren Herkunft Sie nicht zuordnen können. Lesen Sie Ihre E-Mails kritisch und „mit Verstand“. Deaktivieren Sie Makros in den Office-Einstellungen. Installieren Sie immer die Updates für Betriebssystem und Internet-Browser. Fertigen   Sie   regelmäßig   Backups   der   wichtigen   Daten   auf   einer   externen   Festplatte.   Diese sollte jedoch nur zum Zweck des Backups mit dem Rechner verbunden sein. Hinweis Eine   Garantie   auf   Entschlüsselung   haben   Sie   nicht.   Außerdem   besteht   die   Möglichkeit,   dass   die   Täter später erneut zuschlagen oder Nachforderungen stellen. Es   ist   ratsam,   eine   Kopie   der   verschlüsselten   Daten   aufzuheben,   für   den   Fall,   dass   ein   Weg   bekannt wird, die Verschlüsselung zu knacken Es   gibt   derzeit   kein   Tool,   welches   die   Daten   wieder   herstellen   kann   und   den   Schädling vernichtet. Weitere aktuelle Info vom 03.03.2016 hier .
Internetkriminalität