Krypto-Trojaner „Locky“ – Ein Verschlüsselungs-Nachkomme vom „BKA-Trojaner“

Wer sich noch an die Flut von infizierten Geräten letzten und vorletzten Jahres mit dem „BKA-Trojaner“ erinnern kann, der weiß, dass selbst dieser einen schon zur Verzweiflung treiben konnte und meist nur ein Festplattenausbau, Sicherung der Daten und anschliessende Formatierung mit Neuinstallation von Windows optimale Ergebnisse brachte.

Verschlüsselungstrojaner Locky

Seit einiger Zeit (Anfang diesen Jahres ca) breitet sich allerdings ein Verschlüsselungstrojaner aus, der ebenso erpresserisch arbeitet wie damals der BKA-Trojaner, allerdings mit dem kleinen aber feinen Unterschied, dass sämtliche Daten auf dem Computer verschlüsselt werden und man diese angeblich nur durch Zahlung von 0,5 Bitcoins wieder entschlüsseln könne. 0,5 Bitcoins entsprechen momentan ca 190 €, also nicht gerade wenig. Auch ist die grundsätzliche Methode eines Verschlüsselungs-Trojaners nichts neues, dies gab es auch damals schon im „Abklang“ des BKA-Trojaners.

Das Fiese an dieser Variante ist allerdings, dass sie sogar mit der Cloud verbundene Dateien verschlüsseln kann und dann sämtliche damit verbundenen Dateien auf anderen Geräten ebenfalls verschlüsselt werden!

(Ein Beispiel: Sie haben Dropbox auf Ihrem PC installiert und ebenso auf Ihrem Mac, Tablet und Handy. Der PC wird infiziert, die Dokumente verschlüsselt, Dropbox erkennt eine Änderung, lädt diese in die Cloud, die anderen Geräte rufen sie ab und Peng…Ende.)

Problematisch an „Locky“ ist allerdings, dass es momentan keinerlei Möglichkeit gibt, die verschlüsselten Daten zu entschlüsseln und auch ob man nach Zahlung den Schlüssel erhält, scheint sehr fraglich. Meist wird die Kenntnis, dass jemand zahlt, nur dazu genutzt, um dann doppelt und dreifach abzusahnen.

Deshalb unser Rat: Niemals zahlen – immer Profis wie uns kontaktieren!

Das BSI rät im Zuge dessen – wie alle Profis – zu einem regelmäßigen Backup Ihrer Daten.

Was aber, wenn dies – wie so oft – nicht durchgeführt wurde?

Dann gibt es hier unsere Notfall-Schritte:

1.) Im Fall einer Infektion SOFORT Strom aus – im besten Fall verhindern Sie so die Verschlüsselung der meisten Dateien!

2.) Melden Sie sich bei uns!

Wir bauen Ihre Festplatte aus, schließen sie bei uns an und versuchen Ihre Dateien zu retten.

Auch wenn Sie nicht sofort den Strom ausgeschaltet haben, gibt es noch Möglichkeiten mit speziellen Programmen und über Schattenkopien eventuell an Ihre wichtigen Daten zu gelangen!

 

Nun aber zur Verbreitung des Trojaners: Verteilt wird er ganz simpel als Email-Anhang. Getarnt als Rechnung einer wirklich existierenden deutschen Firma, angehängt als doc oder pdf Datei. Und wie Sie in den Screenshots sehen, habe auch ich schon mehrmals diesen Trojaner zugesendet gekriegt. Vermutlich, da meine Emailadressen durch die Webseite publiziert werden.

Diese Emails sehen seriös aus, sind in tadellosem Deutsch geschrieben und sind auch ansonsten wenig auffällig.

Trotzdem kann man Anhaltspunkte dafür finden, dass etwas nicht stimmen könnte:

1.) Das Mailprogramm definiert diese Art Mail schon sehr oft von sich aus als Junk – das sollte einen wachsam werden lassen!

2.) Was einen immer stutzig machen sollte: Eine Rechnung von einer Firma die man nicht kennt über etwas was man nicht bestellt hat (in meinem Fall: Autoreifen)

3.) Der Absender – oft (leider nicht immer) stimmt etwas mit der Absender-Emailadresse nicht. Der Absendername ist zwar „normal“, sprich normaler Vor- und Nachname, allerdings ist die Absende-Mailadresse oft von der eigenen Domain (wie z.B. bei mir urs.baumann@pcassistent.de) oder einer ganz dubiosen Domain abgeleitet.

Verschlüsselungs-Trojaner Locky aktuell

Aufgrund dieser fiesen und unglücksseligen Konstruktion, dass real existierende Firmen als Absender genommen werden, schlagen sich mittlerweile mehrere Firmen mit massivem Ärger herum, der dadurch ausgelöst wurde. Schließlich sind einige Nutzer in der Lage, zu eruieren, von welcher Mail der Schädling stammt und machen dann bei der betreffenden Firma ihrem Ärger Luft, in der Annahme, dass diese daran Schuld sei.

 

Ein besonders trauriges Beispiel dafür ist momentan die Firma Ludwigsluster Fleisch- und Wurstspezialitäten, die sogar schon auf ihrer Webseite eigens eine Erklärung abgegeben hat, um der Lage Herr zu werden.

 

Sollte sich etwas bezüglich der Bekämpfung von Locky tun werden wir Sie auf dem Laufenden halten.

Schreibe einen Kommentar