Ransomeware: Verschlüsselungs-Trojaner

Sicher haben Sie auch schon von dem Verschlüsselungs-Trojanern gehört oder waren /sind sogar bereits Opfer davon. Der Trojaner ist immer noch so "erfolgreich" wie kein anderer Trojaner. Deutschland steht auf dem traurigen ersten Platz der neuen Ofper. Laut heiseSecurity gibt es über 5000 neue Infektionen pro Stunde in Deutschland. Doch, was ist ein Erpressungs-Trojaner überhaupt? Wie infiziert man sich hiermit? Was kann man technisch und organisatorisch präventiv gegen den Befall tun? Ist mein Unternehmen sicher? All diese Fragen wollen wir gern für Sie klären.

Was ist ein Erpressungs-Trojaner?

Einen Erpressungs-Trojaner kann man tatsächlich mit dem Trojanischen Pferd vergleichen. Ein scheinbar nützliches Programm, Dokument oder eine Website werden gern angesehen bzw. genutzt. Der Benutzer bekommt in dem Moment noch nicht mit, dass das Trojanische Pferd hiermit durch die Tore hineingelassen wird. Während der Benutzer seiner Arbeit weiterhin nachgeht, fängt der Trojaner an im Hintergrund schädliche Funktionen auszuführen. Im Falle des Verschlüsselungs-Trojaners Locky und seinen Verwandten, werden mit den Rechten des angemeldeten Benutzers sämtliche Dateien, bevorzugt im Netzwerk, also auch auf dem Server, geöffnet, verschlüsselt und mit ebenfalls verschlüsseltem Namen und der zusätzlichen Dateiendung ".locky" versehen. Hierdurch hat der Trojaner auch seinen Namen. Nachdem Locky, Dateien verschlüsselt hat, wird eine weitere Datei in das Netzwerk hochgeladen. In der findet man das "Erpresserschreiben". Bitcoins (Digitale Münzen) oder auch reales Geld sollen überwiesen werden, damit die Dateien wieder entschlüsselt werden. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) rät jedoch davon ab dieses Lösegeld zu zahlen. Wir schließen uns dem BSI hier ausdrücklich an.

Wie infiziert man sich?

Verschlüsselungs-Trojaner wie Locky verbreiten sich auf verschiedenen Wegen. Gerade deshalb ist er so verbreitet.

Per Mail verbreitet sich der Virus durch das Öffnen von Dateianhängen. Gerade deshalb ist es wichtig Anhänge nur zu öffnen, wenn man den Absender kennt. Mails von unbekannten Firmen mit einem ".doc" Anhang sollten nicht geöffnet werden. Oft versteckt sich der Trojaner in einer Datei Namens "Rechnung.doc". Auch ".zip" Anhänge sind nur zu öffnen, wenn man den Absender kennt. In den gezippten Ordnern ist meist eine Javascript Datei in der sich der Trojaner versteckt. Aber auch Word und Excel-Dateien kann Gefahr lauern, denn die integrierte mächtige Macro-Sprache Visual Basic for Application (VBA) kann auf das gesamte Betriebssystem und Netzwerk zugreifen.

Durch den FlashPlayer kann sich der Trojaner verbreiten. Achten Sie daher immer darauf, nur mit der aktuellsten Version des FlashPlayers zu surfen. Außerdem kann der Trojaner durch Javascript beim Surfen über den Browser installiert werden.

Hinweis: Der Locky Erpressungs-Trojaner kann sich nun auch über USB-Sticks verbreiten. Insbesondere wenn "Autoplay" von CD und Stick aktiviert ist. 

Obwohl in der Regel Antiviren-Software-Entwickler vor Trojaner warnen, die sich neu im Umlauf befinden, schlägt nun Microsoft Alarm. So kann sich eine Ransomware namens Zcryptor (Verwandter des Locky Trojaner) nicht nur auf den konventionellen Wegen, wie zum Beispiel über falsche Flash-Installer, Office-Makros oder E-Mail-Anhängen, sondern auch über Wechselmedien wie USB-Sticks verbreiten. Wird ein infizierter Stick in weitere Rechner gesteckt, werden diese über eine auf den USB-Stick kopierte autorun.inf-Datei ebenfalls infiziert. Dadurch werden alle erreichbaren Dateien mit der Endung .zcrypt verschlüsselt, wozu keine Administrationsrechte erforderlich sind.  Wer danach über seine Dateien wieder frei verfügen will, muss erhebliche finanzielle Mittel aufwenden. Ob allerdings die Entschlüsselung nach der Zahlung wirklich vollständig gewährleistet ist, ist nicht garantiert.

Anti-Viren-Programm mit Patchmanagement

Sie suchen noch ein Anti-Viren-Programm und ein Patchmanagement? Vipre bietet Ihnen beides in einem. Lassen Sie sich von uns beraten.

mehr lesen

Obwohl in der Regel Antiviren-Software-Entwickler vor Trojaner warnen, die sich neu im Umlauf befinden, schlägt nun Microsoft Alarm. So kann sich eine Ransomware namens Zcryptor (Verwandter des Locky Trojaner) nicht nur auf den konventionellen Wegen, wie zum Beispiel über falsche Flash-Installer, Office-Makros oder E-Mail-Anhängen, sondern auch über Wechselmedien wie USB-Sticks verbreiten. Wird ein infizierter Stick in weitere Rechner gesteckt, werden diese über eine auf den USB-Stick kopierte autorun.inf-Datei ebenfalls infiziert. Dadurch werden alle erreichbaren Dateien mit der Endung .zcrypt verschlüsselt, wozu keine Administrationsrechte erforderlich sind.  Wer danach über seine Dateien wieder frei verfügen will, muss ca. 500 Euro in BitCoins (Internet-Währung) entrichten. Ob allerdings die Entschlüsselung nach der Zahlung wirklich vollständig gewährleistet ist, ist nicht garantiert.

Was kann ich Präventiv gegen den Trojaner tun?

Der wichtigste Schutz vor Trojanern ist ein funktionierendes Backup-System. Hiermit kann man die eigenen Daten wieder herstellen und macht sich damit unerpressbar. Außerdem müssen die Mitarbeiter geschult werden, damit E-Mail Anhänge nicht unbedarft angeklickt werden. Leider wird der Trojaner von den meisten Antivirenprogrammen nicht rechtzeitig erkannt. Antivirenprogramme laden von einem Server des Herstellers des Antivirenprogrammes immer wieder die Signaturen, der schädlichen Dateien. Der Locky Virus verbreitet sich jedoch mit immer wieder veränderter Signatur.

Ist mein Unternehmen sicher?

Wir helfen Ihnen diese Frage zu beantworten. Wir vereinbaren gerne einen Termin, damit wir Ihre IT analysieren können um Sie dann unverbindlich und bestmöglich zu beraten. Rufen Sie uns jederzeit an, schicken Sie uns eine Mail oder benutzen Sie unser Kontaktformular.  Wir bieten Ihnen einen sicheren, kompetenten, persönlichen und partnerschaftlichen IT-Service für Hamburg, Norderstedt, Henstedt-Ulzburg, Quickborn, Pinneberg, Elmshorn und Umgebung an.