Krypto-Trojaner Locky in neuen Varianten

Der Trojaner Locky hält nicht nur die Sicherheits-Experten, sondern auch alle IT-Administratoren in Atem. Seit gut einer Woche gibt es ständig neue Meldungen zu neu hinzugekommenen Permutationen der Malware.

Der letzte bekannte Fall, der am heutigen Donnerstag publik wurde, war eine E-Mail von Sipgate, die angeblich ein Fax beinhalten soll. Glücklicherweise haben die Anbieter der Virenscanner schnell reagiert. Die E-Mails wurden beispielsweise von GMX automatisch als Virus erkannt und aussortiert.

Was macht Locky?

Der Virus ist besonders tückisch, da er nicht nur alle erreichbaren Daten aus dem lokalen Computer verschlüsselt. Die Malware verbreitet sich auch automatisch im LAN und infiziert somit weitere Computer. Darüber hinaus sind auch Cloud-Speicher betroffen, die als Laufwerk auf einem der infizierten Computer verbunden sind. Aus diese Weise wurden bereits in den ersten 24 Stunden mehr als 17000 Rechner infiziert.

Verbreitung des Locky-Virus – Bildquelle: Palo Alto Networks

Bis jetzt ist es noch keinem Sicherheitsanbieter gelungen, ein Programm zu erstellen, welches die einmal verschlüsselten Daten im Originalzustand wiederherstellt.

Wie können Sie sich schützen?

Es gibt einige grundsätzlichen Verhaltensregeln, die Sie im Umgang mit verdächtigen E-Mails beachten sollten:

  • Öffnen Sie niemals einen Anhang von einem unbekannten Absender, besonders wenn es sich um eine exe- oder eine zip-Datei handelt.
  • Halten Sie Ihr System und die verwendeten Programme immer auf dem aktuellsten Stand.
  • Deaktivieren Sie die automatische Ausführung von Makros in Microsoft Office (Datei / Optionen / Sicherheitscenter / Einstellungen für das Sicherheitscenter / Einstellungen für Makros). Nutzen Sie an dieser Stelle den Wert „Alle Makros mit Benachrichtigung deaktivieren“. Damit werden die Makros nicht automatisch ausgeführt und Sie erhalten einen entsprechenden Hinweis beim Öffnen der Datei.
    20160225_locky
  • Legen Sie regelmäßig Backups von Ihren wichtigen Daten an.

Erste Schutzmaßnahmen

Die ersten Hersteller haben versuchen, einen aktiven Virenwächter zu entwickeln, der vor dem Start von Locky warnt. Dies gelingt allerdings nur teilweise, da auch die Entwickler der Ransomware den Virus ständig weiter entwickeln. Die Hersteller der Anti-Malware Lösungen benötigen aktuell rund 12 Stunden für ein Update. Somit bleibt das Ganze ein Katz-und-Maus Spiel, bei dem aktuell die Angreifer die Nase deutlich vorne haben.

Malwarebytes hat deswegen einen ersten Versuch unternommen, die Trojaner anhand des Verhaltens zu erkennen und die Ausführung zu blockieren. Laut ersten Tests von heise.de bietet die Software zumindest bei den aktuell bekannten Viren einen recht zuverlässigen Schutz.

Ergänzende News

Im Internet gibt es zahlreiche weitere Quellen, die aktuell über die Bedrohung und weitere Permutationen des Virus berichten:

[1] heise Security: Was tun gegen den Windows-Schädling
[2] heise Security: Neue Locky Masche
[3] Palo Alto Networks: Locky: New Ransomware Mimics Dridex-Style Distribution
[4] heise Security: Weitere Infos zu Locky
[5] Download-Bereich Malwarebytes Anti-Ransomware

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.