Der hinterhältige Erpressungs-Trojaner Locky hat es im Gegensatz zu vielen anderen schon lange existierenden Ransomware-Varianten nun auch in die Mainstream-Medien geschafft. Grundsätzlich funktioniert Locky auch nicht viel anders als andere Cryptolocker- oder Teslacrypt-Versionen, allerdings gibt es schon einige Besonderheiten, die dieses Stück Schadsoftware zu einem besonders widerlichen Vertreter seiner Gattung machen; eine davon ist die Tatsache, dass sich Locky offensichtlich schon vor längerem auf Opfer-PCs eingenistet hat und erst zu einem bestimmten Zeitpunkt zum Leben erwacht ist.
Wer sich nun die berechtigte Frage stellt, warum Virenscanner sich mit der Erkennung von moderner Malware und insbesondere Ransomware sehr schwer tun und die Erkennungsraten zumindest in den ersten Tagen nach einer neuen Ransomware-Welle unterirdisch sind (oftmals auch noch Wochen danach!), sollte folgendes wissen:
-
Die Zeiten, in denen Script Kiddies Viren aus Spaß an der Freude programmiert haben, sind schon lange vorbei. Damit ist heute kein Blumentopf mehr zu gewinnen
-
Mit Ransomware und Lösegeld lässt sich verdammt viel Geld verdienen. Aktuelle Schätzungen gehen davon aus, dass Cyberkriminelle allein im letzten Jahr damit über 360 Millionen USD(!) verdient haben. Es ist kein Problem, in einem Untergrundforum entsprechende Botnetze für einen relativ geringen Betrag (ca. 500-1000 Euro pro Woche, abhängig von der Größe des Botnetzes) anzumieten und sich mit Hilfe fertiger Baukästen bzw. Exploit Kits maßgeschneiderte Cryptolocker zu erstellen. Über das Botnetz werden dann phishing mails mit entsprechenden Anhängen versendet; Stand heute (Februar 2016) sind das nach wie vor Office-Dokumente mit maliziösen Makros, die dann wiederum von gehackten Webseiten im Internet Schadcode nachladen und diesen ausführen
-
Spätestens zu diesem Zeitpunkt hat man schon so gut wie verloren, denn die wenigsten Virenscanner sind in der Lage, Cryptolocker effizient zu erkennen und abzuwehren. Der Vollständigkeit halber möchte ich auch erwähnen, warum: Wenn man sich die Zahl von 360 Millionen USD vor Augen hält, dann kann man sich vorstellen, dass Cyberkriminelle mit Ransomware sehr viel Geld bei einem überschaubaren Invest verdienen können. Ergo werden auch alle Register gezogen, um Ransomware so gut wie möglich zu tarnen; hinzu kommt, dass fertige Baukästen innerhalb kurzer Zeit diverse Cryptolocker-Mutationen mit polymorphem Code produzieren können, die alleine schon deshalb von primär signaturbasieren Virenscannern nicht mehr erkannt werden können – da helfen auch stündliche Updates nicht mehr weiter. Selbst cloudbasierte Virenscanner haben nach wie vor massive Probleme, “frische” Cryptolocker bzw. Ransomware zu erkennen und abzuwehren
Und nein, das habe ich mir nicht alles aus den Fingern gesaugt. Als IT Security Analyst beschäftige ich mich täglich mit diesen Themen und weiß daher sehr gut, von was ich rede. Ich kann deshalb nur empfehlen, folgende Maßnahmen primär im privaten Umfeld in Betracht zu ziehen:
-
Niemals – und damit meine ich auch niemals! – Office-Dokumente (Word, Excel usw.) öffnen, die man per Mail erhält. Selbst dann nicht, wenn sie von vertrauenswürdigen Personen stammen, denn möglicherweise wurde deren Endgerät gehackt und versendet nun vom Besitzer unbemerkt entsprechende phishing mails mit infizierten Anhängen
-
PDF-Dokumente bieten zwar auch Platz für Malware, aber ich halte sie zum gegenwärtigen Zeitpunkt noch für das kleinere Übel. Lassen Sie sich statt eines Word-Dokuments eine PDF-Datei zuschicken, denn damit ist sichergestellt, dass keine Office VBA-Makros ausgeführt werden können, die möglicherweise Schadcode nachladen und ausführen
-
Regelmäßige Backups sind unabdingbar. Dazu gehört allerdings auch, den Restore-Prozess zu testen, um sicherzustellen, dass im Ernstfall die gesicherten Daten auch wiederhergestellt werden können. Backup-Strategien und entsprechende Software gibt es wie Sand am Meer, meine Empfehlung heißt Iperius Backup
-
Wenn sich der Versand bzw. der Austausch von Office-Dokumenten aufgrund von entsprechenden Business-Prozessen nicht vermeiden lässt, dann vereinbaren Sie mit dem Sender ein Passwort, mit dem Office-Dokumente dann in einem verschlüsselten ZIP-Archiv versendet werden. Damit ist sichergestellt, dass ein Attachment tatsächlich auch vom Sender wissentlich auf den Weg gebracht wurde. Office-Dokumente, die nicht in Form eines ZIP-Archivs in Ihrem Posteingang landen, können Sie dann unverzüglich löschen
-
Grundsätzlich sollten Sie sicherstellen, dass sich Ihr Endgerät auf einem aktuellen Patchlevel befindet. Das betrifft sowohl Betriebssystem-Updates als auch Anwendungen wie den Flash Player oder den Adobe Reader, bei denen nach wie vor regelmäßig schwerwiegende Sicherheitslücken auftreten
-
Verwenden Sie Firefox oder alternativ auch Google Chrome zum Surfen. Wichtig ist, dass Erweiterungen wie NoScript oder auch AdBlock Plus vom Browser unterstützt werden, denn damit kann man nach dem Whitelisting-Prinzip legitimen Webseiten die Ausführung von Javascript erlauben, während es hingegen auf anderen Webseiten deaktiviert ist
-
Stellen Sie sicher, dass Ihr Virenscanner sich signaturenmäßig immer auf dem aktuellen Stand befindet, aber verlassen Sie sich keinesfalls ausschließlich auf Ihren Virenscanner! Die Chancen, dass Ransomware oder generell Malware nicht erkannt werden, sind sehr gut.
Natürlich sind das noch längst nicht alle Präventivmaßnahmen, die man ergreifen kann. Es sind aber auf jeden Fall jene, die auch ein durchschnittlich IT-affiner Anwender zum Einsatz bringen kann, ohne ein Informatikstudium absolviert zu haben.