Trojaner und Viren: Darüber haben wir bisher immer gelacht. „Das passiert uns doch nicht!“ Wir, die alle einen Virenscanner auf unserem Computer installiert haben. Und selbst wenn es mal durch einen dummen Zufall passiert ist, dass wir uns einen kleinen Virus versehentlich eingefangen hatten, war das noch kein Beinbruch. Meistens gab es eine Lösung auf den Seiten der Anbieter von Virenscannern.

Hinterhältig, erpresserisch und kryptisch: Locky

Doch nun ist ein neues Zeitalter angebrochen. Wir müssen umdenken. Was jetzt passiert, gehört in die Kategorie Online-Erpressung. „Ransomware“, also ein Verschlüsselungs-Trojaner, ist das neue Schreckgespenst der Online-Welt. Erpresser schleusen die Trojaner auf den Rechner der Nutzer und wollen dann abkassieren.

Wo kommt Locky vor?

Locky in einer E-Mail als Anhang getarnt

Bisher kam der Krypto-Trojaner noch in offensichtlicher und gut erkennbarer Form vor. In E-Mail-Anhängen mit der Dateiendung „.DOCM“. Eine Office-Datei mit Makros. Auch in einer Excel-Datei können Makros stecken. Dann ist die Endung „.XLSM“. Wenn wir den Absender nicht kennen und ein Dateianhang mit einer angeblichen Rechnung oder Kalkulation dabei ist, sollten wir aufmerksam werden. Die Datei nicht öffnen! Die E-Mail (siehe Screenshot) komplett entsorgen, also permanent löschen.

Ebenso befallen kann ein Dateianhang „.ZIP“ sein. Die Erpresser verstecken ihren Krypto-Trojaner dort als JavaScript-Datei (mit der Endung .JS). Verständigen Sie sich mit Kunden und Dienstleistern darauf, dass keine ZIP-Dateien mehr ausgetauscht werden. Finden Sie andere Wege, aus Sicherheitsgründen.

Aktuell: Zur Sekunde (beim Schreiben dieses Artikels) ist, angeblich von Sipgate (gefälschte E-Mail-Adresse), ein Fax per E-Mail bei mir eingetroffen. Natürlich steckt ein Locky in der ZIP-Datei. Siehe Screenshot der E-Mail. Seien Sie bitte noch skeptischer als sonst!

Was geschieht, wenn Locky aktiv wird?

Erstmal nichts. Das ist ja das Fatale. Locky nistet sich leise und heimlich in den Computer ein. Er fängt unbemerkt an, Dateien wie Dokumente und Bilder zu verschlüsseln. Zuerst auf der Festplatte, dann auf angeschlossenen Laufwerken und sogar auf Netzwerkfreigaben wie auch zugänglichen Clouds. Das dauert seine Zeit. Schließlich, das kann auch nach einem Neustart sein, meldet sich ein Screen of Death. Nichts geht mehr, der Bildschirm ist blockiert von einer Meldung. Es werden eindeutige Anweisungen gegeben, was nun zu tun ist. Siehe auch die Abbildungen bei Heise: Krypto Trojaner Locky über Javascript-Dateien verbreitet. Ein Video zu Locky auf einem Testcomputer gibt es ebenso. Wer also mal genau sehen möchte, was Locky anstellt:

Muss ich die Erpresser vom Krypto-Trojaner Locky bezahlen?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät bislang davon ab. Die Polizei empfiehlt, den Monitor zu fotografieren und damit Anzeige zu erstatten. Das FBI sagt, dass es wohl oft keine bessere und effizientere Lösung gibt.

Eins ist sicher: Man weiß nie, ob man wirklich den Entschlüsselungscode erhält. Laut einigen Berichten, die ich in der Zwischenzeit las, konnten sich Locky-Betroffene schon mit einem halben bis einem BitCoin (umgerechnet circa 250-500 US-Dollar) freikaufen. In anderen Fällen wurde nicht entschlüsselt, sondern nachgefordert. Übrigens ist jeder Rechner einzeln verschlüsselt, so dass für jeden Arbeitsplatz ein eigener Entschlüsselungscode fällig wird.

Tipps zum Umgang in Zeiten von Locky und Co

  • Jeder ist ein potentielles Angriffsziel. Es gibt keine bestimmte Zielgruppe für den Krypto-Trojaner.
  • Windows-Nutzer sind besonders gefährdet. Aber auch andere Betriebssysteme können angreifbar sein.
  • Öffnen Sie auf Ihrem Mac oder unter Linux keine infizierten Dateien. Man weiß nie, zu was der Trojaner zukünftig imstande ist.
  • Keine Dateianhänge von unbekannten oder bekannten Absendern öffnen, die auf .DOCM oder .ZIP lauten.
  • Es können auch andere Dateien als .DOCM und .ZIP infiziert sein, seien Sie übervorsichtig!
  • Weitere unbekannte Dateiendungen, die Ihnen begegnen, können Sie hier nachschlagen: Dateiendung.com.
  • Makros in Office-Programmen deaktivieren. Siehe Anleitung zu Office und in den Einstellungen bei Open Office.
  • Nach einer Ansteckung den Rechner vom Netzwerk trennen, damit der Trojaner isoliert wird.
  • Ein Backup sollte regelmäßig erstellt werden – keine Selbstverständlichkeit, daher dieser Tipp.
  • Das Speichermedium für das Backup sollte nur während des Backups angeschlossen sein. Danach entkoppeln.
  • Virenscanner auf Echtzeitüberwachung stellen. Leistet das Programm das nicht, ein besseres erwerben.
  • Software aktuell halten, Updates umgehend erledigen. Plugins/Extensions, die man nicht benötigt (Flash, Java), lieber deinstallieren.
  • Downloads von unbekannten Quellen oder von gefälschten Websites vermeiden.

Die armen (gefälschten) Absender der Locky E-Mails

Heise berichtet, dass ein Lebensmittelproduzent, der als Absender der Erpresser-Locky-Mails herhalten musste, nichts mit der Verbreitung zu tun hat. Doch viele Empfänger überfluten dieses Unternehmen nun mit Mails und Anrufen, um sich zu beschweren. Die Firma klärt auf der eigenen Website darüber auf, rät dazu, die E-Mailanhänge nicht zu öffnen. Dennoch dürfte der Reputationsschaden schmerzen.

Der IT-Verantwortliche des betroffenen Unternehmens soll Ankündigungen von Schadenersatzforderungen der Locky-Mail-Opfer vernommen haben. Die eigene IT leidet ebenso, ist zeitweise komplett lahmgelegt worden. Die Firma hat inzwischen Strafanzeige gegen Unbekannt gestellt.

Gibt es einen Versicherungsschutz für Denial-of-Service- und Hackerangriffe, sowie Datenmissbrauch und Datenverlust? So ein Fall – wie oben geschildert – muss natürlich von Experten bewertet werden. Daher kann ich hier keine konkrete Einschätzung geben. Aber es ist ein gutes Beispiel dafür, was Freiberuflern und Mittelständlern – eigentlich allen Firmen, die mindestens eine E-Mail-Adresse haben – passieren kann.

Hilft eine Cyber-Versicherung?

In einer Cyber-Versicherung ist sowohl eine umfassende Absicherung der Eigenschäden enthalten, als auch eine Haftpflichtversicherung zum Schutz bei Ansprüchen von dritter Seite (Fremdschaden), inklusive der Verletzung von geistigem Eigentum / Persönlichkeitsrechten. Es gibt eine – auf Ihre Bedürfnisse abgestimmte – Versicherung gegen Cyber-Risiken und Datenmissbrauch. Lesen Sie mehr auf der Seite Cyber-Versicherung.
Aber vorher schauen Sie sich noch schnell das Video an.

Cyberversicherung- Alles was man wissen muss!

Sollten Sie weitere Auskünfte zur Cyber-Versicherung wünschen, nutzen Sie dieses Formular.

Wie geht es weiter im Fall Krypto-Trojaner Locky?

Locky bedroht WebserverAufatmen? Nein, weiter die Luft anhalten. Es kommt noch dicker. Die Webserver sind an der Reihe. Auch hier hat Heise in der Berichterstattung die Nase vorn: Admins aufgepasst: Krypto-Trojaner befällt hunderte Webserver.

Besonders WordPress-Installationen sind hochgradig gefährdet. Hier heißt es also: Augen auf und durch. Backups erstellen, Updates machen, veraltete und unbenutzte Plugins entfernen. Das Hochladen von Dateien, insbesondere Word-Dokumente – etwa durch Kontaktformulare – sollte von nun an nicht mehr erlaubt sein. Entfernen Sie solche Einfallstore. Oder isolieren Sie die hochgeladenen Dateien anderweitig, so dass Sie diese einzeln prüfen können.

Wenn Sie keinen eigenen Server betreiben, dann sprechen Sie Ihren Provider darauf an, dass er aktuelle Serversoftware einsetzt. Mit eigenem Server sind Sie natürlich selber in der Verantwortung, dafür zu sorgen.

Neu aufgetaucht: trun-Trojaner

Allerlei Varianten tauchen nach und nach auf. Worauf man achten sollte, wenn eine ganz bestimmte Windows-Meldung kommt: Erpressungs-Trojaner verschlüsselt mit PGP.

 

Ich drücke allen Leserinnen und Lesern die Daumen, dass der Krypto-Trojaner und sämtliche Nachfolger uns zukünftig verschonen. Weil wir im Alltag noch aufmerksamer sind und wissen, wo die Schwachstellen liegen können.

Nicole Y. JodeleitAutorin dieses Beitrags:

Nicole Y. Jodeleit ist Freiberuflerin für Online-Kommunikation und schreibt auf verschiedenen Corporate Blogs über unterschiedliche Themen. Auf dem eigenen Blog Auto-Diva hat sie ihr Interesse für Autos und Technik zur Passion gemacht.