Der offenbar bereits seit längerem auf infizierten Systemen schlummernde Trojaner Locky schlägt seit circa 24 Stunden auch hierzulande in einer konzentrierten Aktion zu. Wie verschiedene Medien heute übereinstimmend berichten, rollt seit gestern eine Welle, bei der bis zu 5000 Systeme pro Stunde infiziert werden. Abhilfe ist noch nicht in Sicht, die Geschwindigkeit könnte sich vielmehr noch erhöhen.
Bei „Locky“ handelt es sich um sogenannte Ransomware. Trojaner aus dieser Klasse verschlüsseln entweder einzelne Dateien, ganze Laufwerke oder das komplette System und fordern danach von ihrem Opfer für die Freigabe der Daten ein Lösegeld. Während man zuvor davon ausging, dass sich der Trojaner über eine der unzähligen Lücken im Flash-Player verbreitet, deuten neuere Erkenntnisse auf eine massenhafte Verbreitung via E-Mail. Demnach verbreitet sich Locky als Dateianhang und täuscht in den meisten Fällen vor, eine Rechnung im Word-Format zu sein.
Teils aus Neugier oder Schreck, teilweise aber auch aus Unkenntnis oder in einem trügerischen Sicherheitsgefühl öffnen Benutzer den Anhang, woraufhin im Word-Dokumente eingebundene Makros das System infizieren. Die meisten der momentan erhältlichen Anti-Viren Programme sind offenbar (noch) nicht in der Lage, Locky zu erkennen und zu isolieren. Auch Sicherheitseinstellungen der populären E-Mail Anwendung Outlook werden ausgehebelt.
Lock findet und verschlüsselt ganz gezielt Dateien, die für den erpressten Benutzer wichtig sein könnten. Das System selbst bleibt in der Regel lauffähig. Der Benutzer wird nach der erfolgreichen Verschlüsselung aufgefordert, die Entschlüsselungs-Software Locky Decrypter zu kaufen, die Bezahlung soll – für die Erpresser sicher – mit Bitcoins erfolgen. Vorausschauend liegt eine Anleitung zum Kauf der virtuellen Währung bei, damit auch nicht unbedingt technikaffine Menschen das Prozedere hinter sich bringen können.
Locky wird von verschiedenen Experten als besonders gefährlich eingestuft, weil der Trojaner auch im Netzwerk liegende Daten verschlüsseln kann. Im Zusammenspiel mit der auf Unternehmens-PCs weit verbreiteten Textverarbeitung Microsoft Word könnte Locky es also vor allem auf Firmen abgesehen haben, für die eine Verschlüsselung wichtiger Daten auch finanziell eine Katstrophe wäre. Dies wiederum könnte – so die Denke der Erpresser – die Bereitschaft zur Zahlung des Lösegelds erhöhen.
In den USA gibt es ein aktuelles Beispiel für eine ähnliche Attacke: eine Reihe von Rechnern im Hollywood Presbyterian Hospital wurden dort von einer Malware infiziert, der Hacker forderte von der Klinikleitung 40 Bitcoin, umgerechnet 17.000 US-Dollar. Das Krankenhaus bezahlte, mittlerweile ermittelt das FBI.
Hierzulande gibt das zuständige Bundesamt für Sicherheit in der Informationstechnik den offiziellen Ratschlag, das Lösegeld keinesfalls zu bezahlen, stattdessen solle man sowohl als Privatperson als auch als Unternehmen sofort Anzeige gegen Unbekannt erstatten. Den Betroffen wird das beim fehlenden Zugriff auf ihre Dateien jedoch erst einmal wenig helfen, Locky ist offenbar unknackbar. Wie heise.de berichtet verschlüsselt die Ransomware die betroffenen Daten mit RSA (2048 Bit Schlüssellänge) und AES mit 128 Bit – daran würde auch das FBI verzweifeln.
Wer sich zum aktuellen Zeitpunkt besser gegen derartige Angriffe absichern will, sollte folgende Schritte vollziehen:
- Macht regelmäßig ein manuelles Update eurer (hoffentlich installierten) Anti-Viren Software. Eventuell hat euer Hersteller bereits eine Erkennungsroutine gefunden. Macht – wie von de meisten Antivirenprogrammen vorgeschlagen – auch mal eine dieser lästigen vollständigen Systemüberprüfungen.
- Öffnet keine Datei-Anhänge von unbekannten Absendern. Öffnet keine Dateianhänge von bekannten Absendern, wenn die Mail selbst gar keinen Sinn ergibt – warum sollte euch eure Mutter eine Rechnung schicken?
- Verhindert die automatische Ausführung von Makros in Microsoft Word. (Datei -> Optionen -> Trust Center -> Einstellungen -> Makroeinstellungen)
- Macht regelmäßig Backups eurer wichtigen Daten. Benutzt dazu externe Medien wie z.B. einen USB-Stick. Trennt das Medium danach vom System. Verschlüsselt eure eigenen Daten und bewahrt sie an einem sicheren Ort auf. Nutzt im besten Fall zwei separate Backup-Medien, die ihr im Wechsel überschreibt.