Wer steckt hinter Locky?
Verschlüsselungs-Malware: Locky erreicht den Nutzer ebenfalls über eine E-Mail mit einem Dokument im Anhang
Dokument besteht aus kryptischen Zeichen und empfiehlt die Aktivierung von Makros, "falls die Informationen nicht korrekt dargestellt werden"
Kommentar zu "Locky" von Steve Bell, Security Experte bei BullGuard
(01.04.16) - Locky wurde vermutlich von derselben Gruppe in Umlauf gebracht, die schon hinter der berüchtigten Dridex-Malware steckte. Darauf weisen Ähnlichkeiten bei der Verbreitung und beim Aufbau der beiden Trojaner hin. Dridex ist eine Malware-Gruppe, die über Microsoft Office-Makros Betriebssysteme infiziert. Sie spioniert Kontodaten und andere persönliche Informationen aus. Die Malware wird zunächst über eine Spam-Mail auf beliebigen PCs eingeschleust. Wird das angehängte Word-Dokument geöffnet, löst ein integriertes Makro den Download von Dridex aus.
Locky erreicht den Nutzer ebenfalls über eine E-Mail mit einem Dokument im Anhang. Das Dokument besteht aus kryptischen Zeichen und empfiehlt die Aktivierung von Makros, "falls die Informationen nicht korrekt dargestellt werden". Befolgt der Nutzer diese Anweisung, aktiviert er unwissentlich einen Code im Dokument, der daraufhin eine Datei auf der Festplatte ablegt und im Hintergrund öffnet. Die Datei beginnt im Hintergrund mit dem Download der Locky-Malware. Es ist anzunehmen, dass hinter beiden Fällen, sowohl bei Locky als auch bei Dridex, eine Gruppe namens Evil Corp aus Osteuropa steckt.
File-Scrambling und Zahlungsaufforderungen
Locky verschlüsselt alle Dateien, einschließlich Videos, Bilder, Quellcode und Office-Dokumente, und wandelt sie in .locky-Dateien um. Um auf die Dateien wieder zugreifen zu können, benötigt der Nutzer einen Dechiffrierungscode, den nur die Hacker haben. Der Nutzer erhält auf dem Desktop eine Benachrichtigung, über die er zu einer ominösen Internetseite gelangt. Dort kann der Dechiffrierungscode gegen Bezahlung von den Betrügern erkauft werden. Der Preis für die Entschlüsselung beträgt nach bisherigen Beobachtungen zwischen 0,50 und 1,00 Bitcoin. Ein Bitcoin entspricht zurzeit 350,00 Euro.
Wie können Nutzer sich schützen?
Hat man sich mit Locky infiziert, gibt es nur zwei Möglichkeiten – entweder die Geldsumme zu bezahlen oder den PC zu formatieren. Damit es gar nicht erst soweit kommt, empfehlen wir Nutzern folgende Schutzmaßnahmen:
Seien Sie gegenüber E-Mails von Personen oder Organisationen, die Sie nicht kennen, stets misstrauisch. Insbesondere, wenn die E-Mails einen Anhang enthalten, ist Vorsicht geboten. Wenn Sie auch nur den geringsten Zweifel haben, gilt: unverzüglich löschen, keinesfalls die Nachricht öffnen.
Führen Sie regelmäßig ein Daten-Backup durch und bewahren Sie die Kopie getrennt von Ihrem Computer, auf, z.B. in einem Cloud-basierten Backup-Dienst oder auf einer externen Festplatte. Wenn möglich, verschlüsseln Sie Ihre Backups.
Aktivieren Sie keinesfalls Makros in E-Mail-Anhängen. Microsoft hat bereits vor Jahren das automatische Ausführen von Makros standardmäßig unterbunden, um Nutzer besser vor Angriffen zu schützen. Locky und andere Malware sind also darauf angewiesen, dass Sie Makros manuell aktivieren.
Wir empfehlen die Installation von Microsoft Office Viewer. Die Anwendung zeigt Ihnen Dokumente in einer Vorschau an, ohne dass Sie sie in Word oder Excel zu öffnen brauchen. Der Viewer unterstützt keine Makros, sodass Sie sie auch nicht aus Versehen aktivieren können. (BullGuard: ra)
BullGuard: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.