Locky Erpressungs-Trojaner

Ransomeware: Verschlüsselungs-Trojaner – Locky und Verwandte

Sicher haben Sie auch schon von dem Erpressungs-Trojaner Locky (und seinen Verwandten) gehört oder waren sogar bereits Opfer von diesem Verschlüsselungs-Trojaner. Der Trojaner ist derzeit so „erfolgreich“ wie kein anderer Trojaner. Deutschland steht auf dem traurigen ersten Platz der neuen Ofper von Locky. Laut heiseSecurity gibt es über 5000 neue Infektionen pro Stunde in Deutschland. Doch, was ist ein Erpressungs-Trojaner überhaupt? Wie infiziert man sich hiermit? Was kann man präventiv gegen den Befall Lockys tun? Ist mein Unternehmen sicher? All diese Fragen wollen wir gern für Sie klären.

Was ist ein Erpressungs-Trojaner?

Einen Erpressungs-Trojaner kann man tatsächlich mit dem Trojanischen Pferd vergleichen. Ein scheinbar nützliches Programm, Dokument oder eine Website werden gern angesehen bzw. genutzt. Der Benutzer bekommt in dem Moment noch nicht mit, dass das Trojanische Pferd hiermit durch die Tore hineingelassen wird. Während der Benutzer seiner Arbeit weiterhin nachgeht, fängt der Trojaner an im Hintergrund schädliche Funktionen auszuführen. Im Falle des Locky-Trojaners werden mit den Rechten des angemeldeten Benutzers sämtliche Dateien, bevorzugt im Netzwerk, also auch auf dem Server, geöffnet, verschlüsselt und mit ebenfalls verschlüsseltem Namen und der zusätzlichen Dateiendung „.locky“ versehen. Hierdurch hat der Trojaner auch seinen Namen. Nachdem Locky, Dateien verschlüsselt hat, wird eine weitere Datei in das Netzwerk hochgeladen. In der findet man das „Erpresserschreiben“. Bitcoins (Digitale Münzen) sollen überwiesen werden, damit die Dateien wieder entschlüsselt werden. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) rät jedoch davon ab dieses Lösegeld zu zahlen. Wir schließen uns dem BSI hier ausdrücklich an.

Wie infiziert man sich?

Locky verbreitet sich auf verschiedenen Wegen. Gerade deshalb ist er so verbreitet.

Per Mail verbreitet sich der Virus durch öffnen von Anhängen. Gerade deshalb ist es wichtig Anhänge nur zu öffnen, wenn man den Absender kennt. Mails von unbekannten Firmen mit einem „.doc“ Anhang sollten nicht geöffnet werden. Oft versteckt sich der Trojaner in einer Datei Namens „Rechnung.doc“. Auch „.zip“ Anhänge sind nur zu öffnen, wenn man den Absender kennt. In den gezippten Ordnern ist meist eine Javascript Datei in der sich der Trojaner versteckt.

Durch den FlashPlayer kann sich der Trojaner verbreiten. Achten Sie daher immer darauf, nur mit der aktuellsten Version des FlashPlayers zu surfen. Außerdem kann der Trojaner durch Javascript beim Surfen über den Browser installiert werden.

30.05.2016 Der Locky Erpressungs-Trojaner kann sich nun auch über USB-Sticks verbreiten

Obwohl in der Regel Antiviren-Software-Entwickler vor Trojaner warnen, die sich neu im Umlauf befinden, schlägt nun Microsoft Alarm. So kann sich eine Ransomware namens Zcryptor (Verwandter des Locky Trojaner) nicht nur auf den konventionellen Wegen, wie zum Beispiel über falsche Flash-Installer, Office-Makros oder E-Mail-Anhängen, sondern auch über Wechselmedien wie USB-Sticks verbreiten. Wird ein infizierter Stick in weitere Rechner gesteckt, werden diese über eine auf den USB-Stick kopierte autorun.inf-Datei ebenfalls infiziert. Dadurch werden alle erreichbaren Dateien mit der Endung .zcrypt verschlüsselt, wozu keine Administrationsrechte erforderlich sind.  Wer danach über seine Dateien wieder frei verfügen will, muss ca. 500 Euro in BitCoins (Internet-Währung) entrichten. Ob allerdings die Entschlüsselung nach der Zahlung wirklich vollständig gewährleistet ist, ist nicht garantiert.

Was kann ich Präventiv gegen den Trojaner tun?

Der wichtigste Schutz vor Trojanern ist ein funktionierendes Backup-System. Hiermit kann man die eigenen Daten wieder herstellen und macht sich damit unerpressbar. Außerdem müssen die Mitarbeiter geschult werden, damit E-Mail Anhänge nicht unbedarft angeklickt werden. Leider wird der Trojaner von den meisten Antivirenprogrammen nicht rechtzeitig erkannt. Antivirenprogramme laden von einem Server des Herstellers des Antivirenprogrammes immer wieder die Signaturen, des schädlichen Dateien. Der Locky Virus verbreitet sich jedoch mit immer wieder veränderter Signatur.

Ist mein Unternehmen sicher?

Wir helfen Ihnen diese Frage zu beantworten. Wir vereinbaren gern einen Termin, damit wir Ihre IT Analysieren können und Sie dann unverbindlich und bestmöglich zu beraten. Rufen Sie uns jederzeit an, schicken sie uns eine Mail oder benutzen Sie unser Kontaktformular.  Wir bieten Ihnen einen sicheren, kompetenten, persönlichen und partnerschaftlichen IT-Service für Hamburg, Norderstedt, Henstedt-Ulzburg, Quickborn, Pinneberg, Elmshorn und Umgebung an.

Wie infiziert man sich?

Locky verbreitet sich auf verschiedenen Wegen. Gerade deshalb ist er so verbreitet.

Per Mail verbreitet sich der Virus durch öffnen von Anhängen. Gerade deshalb ist es wichtig Anhänge nur zu öffnen, wenn man den Absender kennt. Mails von unbekannten Firmen mit einem „.doc“ Anhang sollen nicht geöffnet werden. Oft versteckt sich der Trojaner in einer Datei Namens „Rechnung.doc“. Auch „.zip“ Anhänge sind nur zu öffnen, wenn man den Absender kennt. In den gezippten Ordnern ist meist eine Javascript Datei in der sich der Trojaner versteckt.

Auch über den FlashPlayer kann sich der Trojaner verbreiten. Achten Sie daher immer darauf, nur mit der aktuellsten Version des Flash Players zu surfen. Außerdem kann der Trojaner durch Javascript beim surfen über den Browser installiert werden.

30.05.2016 Der Locky Erpressungs-Trojaner kann sich nun auch über USB-Sticks verbreiten

Anti Viren Programm mit Patchmanagement

Anti Viren Programm mit Patchmanagement

Sie suchen noch ein Anti-Viren-Programm und ein Patchmanagement? Vipre bietet Ihnen beides in einem. Lassen Sie sich von uns beraten.

mehr lesen

Obwohl in der Regel Antiviren-Software-Entwickler vor Trojaner warnen, die sich neu im Umlauf befinden, schlägt nun Microsoft Alarm. So kann sich eine Ransomware namens Zcryptor (Verwandter des Locky Trojaner) nicht nur auf den konventionellen Wegen, wie zum Beispiel über falsche Flash-Installer, Office-Makros oder E-Mail-Anhängen, sondern auch über Wechselmedien wie USB-Sticks verbreiten. Wird ein infizierter Stick in weitere Rechner gesteckt, werden diese über eine auf den USB-Stick kopierte autorun.inf-Dateien ebenfalls infiziert. Dadurch werden alle erreichbaren Dateien mit der Endung .zcrypt verschlüsselt, wozu keine Administrationsrechte erforderlich sind.  Wer danach über seine Dateien wieder frei verfügen will, muss ca. 500 Euro in BitCoins (Internet-Währung) entrichten. Ob allerdings die Entschlüsselung nach der Zahlung wirklich vollständig gewährleistet ist, ist nicht garantiert.

Was kann ich Präventiv gegen den Trojaner tun?

Der wichtigste Schutz vor Trojanern ist ein funktionierendes Backup-System. Hiermit kann man die eigenen Daten wieder herstellen und macht sich damit unerpressbar. Außerdem müssen die Mitarbeiter geschult werden, damit E-Mail Anhänge nicht unbedarft angeklickt werden. Leider wird der Trojaner von den meisten Antivirenprogrammen nicht rechtzeitig erkannt. Antivirenprogramme laden von einem Server des Herstellers des Antivirenprogrammes immer wieder die Signaturen, der schädlichen Dateien. Der Locky Virus verbreitet sich jedoch mit immer wieder veränderter Signatur.

Ist mein Unternehmen sicher?

Wir helfen Ihnen diese Frage zu beantworten. Wir vereinbaren gerne einen Termin, damit wir Ihre IT analysieren können und Sie dann unverbindlich und bestmöglich zu beraten. Rufen Sie uns jederzeit an, schicken sie uns eine Mail oder benutzen Sie unser Kontaktformular.  Wir bieten Ihnen einen sicheren, kompetenten, persönlichen und partnerschaftlichen IT-Service für Hamburg, Norderstedt, Henstedt-Ulzburg, Quickborn, Pinneberg, Elmshorn und Umgebung an.