Locky – Ransomware weiter verbreitet als angenommen – Jetzt handeln

/in /von

RANSOMWARE Angriff mittels Locky – Was Sie tun sollten

Seit einigen Tagen wird über drei deutsche Krankenhäuser in den Medien berichtet, die derzeit mit einer Ransomware (Schadcode) namens Locky zu kämpfen haben. Meist mussten alle IT Systeme heruntergefahren und mühsam wiederhergestellt werden.

Aus unseren ersten Erfahrungen sind weit mehr Unternehmen betroffen, als die genannten Krankenhäuser. Vielerorts „schlummert“ der Schadcode bereits in den Systemen und kann jederzeit aktiviert werden.

Erkennung:

Locky schleust sich im Regelfall per E-Mail ein, es gibt jedoch auch schon Infektionsfälle über Acrobat Flash (Web-Browsing). Der Schadcode beginnt umgehend eine Sicherheitslücke in Microsoft Office zu nutzen und beginnt mit der Verschlüsselung aller erreichbaren Daten. Die Liste der verschlüsselten Dateien ist lang.

“ Derzeit erkennen nur 50% der Virenscanner diesen Schadcode „

Schaden

Locky löscht sämtliche Schattenkopien auf Windows Systemen (lokale Sicherheitsbackups) und beginnt mit der Verschlüsselung diverser Medienformate, Archive, Quellcodes, Datenbanken, Zertifikaten, Office Dateien und Krypto-Schlüsseln. Kurzum alle Daten die für Benutzer wichtig sind. Derzeit werden rund 150 Dateiformate befallen.

Diese verschlüsselten Dateien lassen sich nur durch einen Entschlüsselungscode wiederherstellen. Diesen bieten Die Hacker gegen Zahlung an. Beispielsweise wurde eine Klinik in Los Angeles zu Zahlung von umgerechnet 3,2 Mio € erpresst.

Die verschlüsselten Dateien enden dann mit der Dateiendung *.locky, das Hintergrundbild von Windows wird verändert und eine Textdatei mit Zahlungsinformationen angelegt.

Was sollten Sie tun

Auf keinen Fall sollten Anhänge oder Mails mit auffälligen Inhalt (Text mit unsinnigen Inhalt, Rechnungen von unbekannten Absendern, Zahlungshinweise etc) geöffnet oder gespeichert werden.

Aktuell ist kein Weg bekannt, die von Locky verschlüsselten Dateien ohne Zahlung des Lösegelds zu retten. Laut den Tätern verschlüsselt Locky mit RSA mit 2048 Bit Schlüssellänge und AES mit 128 Bit. Wenn das stimmt und die Entwickler bei der Krypto-Implementierung nicht gepatzt haben, besteht keine Hoffnung, die verschlüsselten Dateien zu retten.

Somit ist nur eine Wiederherstellung der betroffenen Daten die einzige Lösung.

Sollten Ihnen Dateien mit der Endung .locky auffallen oder der Schadcode bereits aktiv sein, so melden Sie dies bitte UMGEHEND! Auf keinen Fall sollte auf die Zahlungsaufforderung eingegangen werden.

Verseuchte Rechner sollten sofort vom Netz getrennt werden. Sind bereits Server befallen, so sind diese ebenfalls sofort aus dem Netzwerk zu trennen. Eine Untersuchung aller im Netzwerk befindlichen Rechner sollte ausgeführt werden.

Wenn Sie oder einer ihrer Kollegen/Kolleginnen hiervon betroffen sein, stehen wir Ihnen gern zur Verfügung (Support@i-tresor.de)

Ihr Team der I-Tresor GmbH & Co. KG

Ähnliche Beiträge:

  1. Fake-Bewerbungsmails: Trojaner versteckt sich erfolgreich vor Antiviren-Software
  2. EnterpriseDB ab sofort bei I.Tresor
  3. Veritas: Auch hier entfällt in Zukunft die Karenzzeit
  4. I.Tresor und Bitdefender vereinbaren Partnerschaft