SfS - Sicherheitsberater für Senioren
Internet - Trojaner Locky
© Siegfried Fröhlich 2015, 2016, 2017, 2018

Bitte beachten Sie:

Schauen Sie sich den Inhalt einer E-Mail genau an. Öffnen Sie nicht jeden Anhang einer E-Mail. Klicken Sie nicht auf jeden Link in einer E-Mail.
Ransomware Erpresservirus “Locky” Derzeit ist der Erpresservirus „Locky“ sehr aktiv. Er verschlüsselt verschiedene Dateien auf der Festplatte, löscht die Originale und zeigt eine Meldung an, in der Lösegeld gefordert wird. Nach Zahlung der geforderten Summe in „Bitcoins“ (lässt sich nicht nachvollziehen an wen die Zahlung geht) sollen die Opfer eine Schlüssel zur Wiederherstellung der Daten erhalten. Nach aktuellen Auskünften des Antivirusherstellers Kaspersky Lab sind die Länder Deutschland und Frankreich derzeit die am stärksten betroffenen Länder. Locky soll derzeit stündlich etwa 5000 Rechner neu infizieren. Nach Informationen von Kaspersky Lap sind derzeit bereits 60 unterschiedliche Locky-Varianten aktiv. Verbreitungswege von Locky Eine Verbreitungsmöglichkeit sind E-Mails mit Office-Dateien (Word und Excel) im Anhang. Die Office-Dateien enthalten ein Makro, welches den Schädling nachlädt. Es gibt auch E-Mails deren Anhang aus einer ZIP-Datei (ZIP-Archiv) besteht, welche eine Javascript-Datei (.js) enthält. Öffnet man diesen Anhang im Internet-Browser, wird durch das Script der Schädling geladen. Die Anhänge der E-Mails sind sehr untertschiedlich. Es kann eine angebliche Rechnung sein, eine Bestellbestätigung, Mahnung oder auch eine MMS. Derzeit (08. KW) ist eine gefälschte Mail des Telefonanbieters Sipgate mit einer ZIP-Datei im Anhang unterwegs, welche eine Faxnachricht enthalten soll. Verbreitung durch Office-Dateien Die Word-Dateien enthalten ein VBA-Makro. Wird so eine Datei geöffnet, erscheint zunächst „Zeichensalat“. Ist die Makro-Funktion in den Office-Dateien gesperrt, werden Sie aufgefordert Makros zuzulassen. Das VBA-Makro lädt nun einen Downloader auf den Rechner, welcher den Schädling „Locky“ herunter lädt und startet. Was macht Locky Locky nimmt Kontakt mit dem Command & Control-Server auf. Vom Server wird für den Rechner ein spezielles Schlüsselpaar generiert. Der öffentliche Schlüssel wird von Locky zur Verschlüsselung der Dateien benutzt. Der private Schlüssel welcher zur Entschlüsselung benötigt wird, verbleibt auf dem Server. Von Locky werden alle Verzeichnisse auf den angeschlossenen Laufwerken durchsucht, auch die Netzwerkfreigaben. Die gefundenen Dateien werden verschlüsselt, die Originaldateien gelöscht. Die verschlüsselten Dateien tragen die Endung „.locky“. Sind die Daten verschlüsselt, wird die Erpressermeldung ( siehe Bild ) angezeigt. Gefordert wird das Lösegeld in Bitcoins (BTC). Die Zahlung wird im sogenannten Darknet, welches nur über Tor erreichbar ist, abgewickelt. Nach Zahlung soll man ein Entschlüsselungs-Tool erhalten. Schutz Öffnen Sie keine Mail-Anhänge deren Herkunft Sie nicht zuordnen können. Lesen Sie Ihre E-Mails kritisch und „mit Verstand“. Deaktivieren Sie Makros in den Office-Einstellungen. Installieren Sie immer die Updates für Betriebssystem und Internet-Browser. Fertigen Sie regelmäßig Backups der wichtigen Daten auf einer externen Festplatte. Diese sollte jedoch nur zum Zweck des Backups mit dem Rechner verbunden sein. Hinweis Eine Garantie auf Entschlüsselung haben Sie nicht. Außerdem besteht die Möglichkeit, dass die Täter später erneut zuschlagen oder Nachforderungen stellen. Es ist ratsam, eine Kopie der verschlüsselten Daten aufzuheben, für den Fall, dass ein Weg bekannt wird, die Verschlüsselung zu knacken Es gibt derzeit kein Tool, welches die Daten wieder herstellen kann und den Schädling vernichtet. Weitere aktuelle Info vom 03.03.2016 hier .
Internetkriminalität