Locky, Teslacrypt und Co. Sind wir noch sicher?

blackmarketZurzeit überfällt die sogenannte „Ransomware“ die ganze Welt. Krankenhäuser, Institute und Privatleute werden am laufenden Band mit Malware überhäuft. Das Luxemburgische CERT meldet in ihrem Honeypot 500 Muster der Malware innerhalb von 30 Minuten. Deutschland liegt dabei mit über 5000 Neuinfektionen pro Stunde vor den USA und den Niederlanden.  Malware per Emailanhang ist nichts neues. Doch was ist anders als damals?

Früher wurden auch Emailanhänge mit Malware versendet. Dabei handelte es sich um Standard Scripte oder Programme wie „exe“, „bat“, „zip“ oder doppelte Endungen wie „pdf.exe“.  Diese wurden schnell von vielen Mailservern herausgefiltert oder vom Antivirenschutz beim herunterladen erkannt.  Zudem waren die Emails in gebrochenem Deutsch oder mit falscher Formatierung verfasst.

Was ist neu

Heutzutage werden User mit bekannten Formaten für ihr Umfeld dazu gebracht diese Dateien auszuführen. Der Anhang der Email ist eine Datei mit dem Namen „Rechnung.docm“. Das wirkt auf viele vertraut und zunächst nicht gefährlich – es ist ja keine „exe“ oder „bat“ Datei.

„docm“ besteht aus einem Word Dokument mit Makros. Nach Ausführen der Datei erscheint ein Popup und fragt bezüglich der Aktivierung der Makros. Ab dann ist der Cryptolocker aktiv. Er durchforstet alle Dateien und verschlüsselt die wichtigsten Dateitypen. Dabei werden alle freigegebenen Netzwerkordner verschlüsselt, wenn die Berechtigung des aktiven Benutzers dafür ausreicht.

Schattenkopien von Windows Volumes zur Wiederherstellung der Daten werden im Hintergrund ebenfalls gelöscht. Locky führt dabei folgenden Befehl aus:

vssadmin.exe Delete Shadows /All /Quiet

Locky ist aber ansonsten etwas anders als die bisherige Ransomware. Der Sicherheitsforscher Kevin Beaumont fand heraus, dass Locky einen Command-and-Control Server für den Schlüsselaustausch benutzt. Dabei generieren Client und Server gemeinsam den Schlüssel und tauschen diesen dann über eine verschlüsselte Verbindung aus. Bisher fand dies lokal statt und wurde danach erst an einen Server gesendet. Hierbei erhoffen Forscher sich eine Möglichkeit Locky unschädlich zu machen indem die Verbindung zu den Servern abgeschnitten wird.

Wie kann man sich schützen

Generell kann man sich gegen Ransomware vorerst nur mit viel Aufmerksamkeit schützen. So empfiehlt es sich:

  • Dateianhänge nur öffnen wenn man sich sicher ist, dass diese vertrauenswürdig sind
  • Bei Office das Ausführen von Makros deaktivieren
  • Spam und Phishing-Mails versuchen zu erkennen und direkt löschen
  • Regelmäßige Backups von wichtigen Daten erstellen und diese getrennt vom System aufbewahren
  • Systeme „Up-to-Date“ halten, darunter fallen Sicherheitspatches und Antivirendefinitionen

Das BSI rät bei Befall das „Lösegeld“ nicht zu zahlen. Dadurch würden die Erpresser nur noch bestätigt.

No tags.
  • Trackbacks
  • Comments
  • Comments are disabled.
  • Trackbacks are disabled.