28. Februar 2016

Locky und co.

  • Locky ist eine Ransomware, das bedeutet sie verschlüsselt Daten auf Computern und fordert für ihre Entschlüsselung Lösegeld. 
  • Die meisten Arten von Locky sind außerdem Makro-Viren. Makro-Viren verstecken sich in Word-Dateien und werden dort durch einen speziellen Code aktiviert. 
  • Neben diesen Versionen wird Locky teilweise auch über gehackte Websites und Javascript verteilt.
  • Dazu dienen vermutlich gehackte Server.
  • Beim einem Test des YouTube-Kanals Sempervideo wurden alles Daten auf angeschlossen Festplatten sowie eingebunden Cloudspeichern gelöscht. Ausgenommen davon waren im Wesentlichen Programme, Dateien ohne Endung, Dateien im Systemverzeichnis und ähnliche. 
  • Abhilfe soll das Programm Anti-Ransomware von Malwarebytes. Bei einem Test von heise.de würde Locky nach 20 verschlüsselten Dateien aufgehalten. Ob spätere Versionen von Locky ebenfalls hierdurch aufgehalten werden bleibt abzuwarten.
  • Andere aktuelle Ransomware sind z.B. der CTB-Locker oder ein auf PGP basierender Trojaner.
  • Viele Firmen sind von dem Trojaner betroffen, zeitweise erreichte Locky bis zu 5000 Neuinfektionen pro Stunde, allein in Deutschland
  • Aktuell hilft es nur ein regelmäßiges Back-Up zu machen, keine verdächtigen Mails zu öffnen und das AV-Programm immer aktuell zu halten
  • Falls Dateien in Clouddiensten verschlüsselt werden können diese teilweise über die Versionsverwaltung wiederhergestellt werden
  • Auch für Mac OS X von Apple gibt es mittlerweile einen unter Version 2.90 voll funktionsfähigen Krypto-Trojaner namens KeRanger

gibt es keinen wirksamen schutz?

Locky ist nicht ein Trojaner. Locky existiert in verschiedenen Versionen und wird über gehackte Server verteilt. Wenn Webseiten veraltete Software benutzen wie z.B. einen veralteten Wordpress-Blog haben diese in der Regel Schwachstellen und sind über Google zu finden. Alle paar Stunden bis Tage kommt eine neue Version und damit eine neue Welle an E-Mails. Diese sind in der Regel so gemacht, dass sie Antiviren-Programmen nicht sofort auffallen. Bis alle größeren AV-Programme diese Version erkennen vergehen in der Regel 24 Stunden. Zusätzlich muss das genutzte AV-Programm auf dem neusten Stand sein. Bei Windows schafft derzeit das Programm Anti-Ransomware von Malwarebytes Abhilfe. Bei einem Test von heise.de würde Locky nach 20 verschlüsselten Dateien aufgehalten. Ob spätere Versionen von Locky ebenfalls hierdurch aufgehalten werden bleibt abzuwarten. Ansonsten sind Mac OS X und Linux die einzige Möglichkeit sich sicher vor Locky zu schützen. Aber auch hier bleibt langfristig die Sicherheit vor Locky und anderer Ransomware abzuwarten.

Videos zum Thema:

Updates:

01.03.16: Fehlerkorrekturen, erweiterte Inhalte und neues Video

07.03.16: erweiterte Inhalte, neues Video und Quellenerweiterung

Quellen:

Tags: Locky, Ransomware, Krypto-Trojaner, Verschlüsselung, Trojaner, Viren, AES-256, PGP

Kommentar schreiben

Kommentare: 0