Erpresser-Trojaner “Locky”

19. Mai 2016

“Das Sicherheits-Software-Unternehmen Ikarus verzeichnet einen massiven Anstieg von infizierten Rechnern in Österreich. Bis zu 200 Outbreaks täglich – das sind mehrere Tausend infizierte E-Mails pro Tag.”(DiePresse.com)

In Österreich wurden bereits bis zu 20.000 infizierte Mails verzeichnet, daher empfehlen wir kontinuierliche Maßnahmen zu setzen gegen den Locky-Virus. Aufgrund dessen, dass sich die Strategie und der Viren Code ständig ändern, ist es wichtig hier informiert zu bleiben.

Vor einem Jahrzehnt war es sehr leicht die schadhaften Mails zu erkennen. Die Betrüger lernen dazu, so ist es nicht möglich, aufgrund Rechtschreibfehler oder Grammatikfehlern die Betrüger zu entlarven. Die Aufmacher der Anhänge sind heutzutage derart täuschend gut gemacht, dass es schwierig wird die Fälschungen zu erkennen.

Durch jeden neuen Angriff ändern sich aber auch der Viren-Code und das Vorgehen der Betrüger. Bei der neuesten Generation von „Locky“ werden auf direkt in E-Mails eingebettete JavaScript gesetzt, wodurch Anhänge unnötig werden. Antiviren-Programme stoßen, auch wenn Sie aktuell sind, durch den ständig geänderten Viren-Code an Ihre Grenzen.

Was ist das Ziel des “Locky” Virus?

Bei Locky handelt es sich um einen professionellen Trojaner, genauer gesagt handelt es sich um sogenannte Ransomeware.

Die Infizierung geschieht in der Regel über Spam-Mails, in denen ein Word- oder Excel-Dokument enthalten ist. Beim Öffnen des  Dokumentes finden Sie nur einen kryptischen Text mit einem einzigen leserlichen Hinweis: “Können Sie den Text nicht lesen, sollen Sie die Makros in Word oder Excel aktivieren und genau hiermit öffnen Sie dem Trojaner Tür und Tor, sofern die Makros nicht schon zuvor aktiviert waren. Das schädliche Dokument bringt ein Makro mit, das den Trojaner mit dem Dateinamen “ladybi.exe” herunterlädt.

Jetzt startet der Trojaner mit seiner Attacke so richtig durch. Ihre Dokumente werden in hash.locky-Dateien umgewandelt und somit verschlüsselt. Nur mit dem richtigen Entschlüsselungs-Code kommen Sie wieder an Ihre Daten. Der Bildschirmhintergrund wird ebenfalls gewechselt.

Nun sind Sie an genau dem Punkt angelangt, an dem die Betrüger Sie haben wollen. Möchten Sie wieder auf Ihre Daten zugreifen und diese entschlüsseln, müssen Sie sich freikaufen. Hierfür muss ein bestimmter Betrag mit BitCoins gezahlt werden.

Welche Maßnahmen gibt es um sich zu schützen?

  • Unbedingt Backups der wichtigsten Daten machen, mindestens 3-5 Generationen zurück, wichtig dabei, die Datenträger nicht ständig am Gerät hängen lassen, da diese sonst ebenfalls bei einem Angriff verschlüsselt werden können.
  • Unbekannte Mails oder/und mit zweifelhaftem Inhalt am besten sofort löschen und NICHT öffnen!
  • Aktualisieren Sie Browser sowie Betriebssystem. Ein aktueller, zuverlässiger Virenschutz sollte installiert sein und immer wieder auf seine Aktualität geprüft werden.
  • Im Microsoft Office sollte der Makro-Code erst nach Rückfrage ausgeführt werden.