Erpressungstrojaner Locky und Petya: Wie kann ich mich vor ihnen schützen?

Sie bekommen immer öfter Emails mit verschlüsselten Anhängen zugeschickt, mit denen Sie nichts anfangen können? Dank neuer Erpressermaschen durch Trojaner ist hierbei äußerste Vorsicht geboten.

Über Emails werden derzeit Dateien verschickt, die einen Verschlüsselungstrojaner enthalten, um anschließend Lösegeld zu erpressen. Meist handelt es sich dabei um frei erfundene Rechnungen oder, wie es bei dem Trojaner „Petya“ der Fall ist, sogar um vermeintliche Bewerbungsunterlagen, die über den Filehosting Dienst Dropbox abgerufen werden sollen, da die Dateien angeblich zu groß für die Versendung via Email seien. Durch das Klicken riskiert der Empfänger nicht nur die Verschlüsselung des eigenen Rechners, sondern sogar die Verschlüsselung aller Rechner in dem eingewählten Netzwerk, wenn die Schadsoftware „Locky“ zugeschlagen hat. Der Virus verbreitet sich selbstständig weiter und infiziert alle Rechner, die er im Netzwerk erreichen kann, und macht diese unbrauchbar. Bei Befall werden alle Dateien auf dem betroffenen Rechner verschlüsselt, während dem Empfänger dann als einzige Möglichkeit zu bleiben scheint, Lösegeld an die Erpresser zu zahlen, um die Dateien wieder zu entschlüsseln.

Übersicht Trojaner „Locky“:

  • Die Virusverbreitung geschieht durch Schädlingsdateien, die als vermeintliche Rechnungen getarnt sind, welche sich in einer angehängten Office-Datei in Emails befinden. Sobald diese Datei durch Doppelklick oder Download vom Empfänger geöffnet wird, wird der Verschlüsselungstrojaner auf den Rechner übertragen.
  • Auch vermeintliche Warnungen des Bundeskriminalamts (BKA) vor eben diesem Trojaner Locky werden als Verbreitungsinstrument genutzt. In einer Email wird behauptet, dass das BKA mit Antivirusherstellern zusammenarbeite und der Empfänger wird dazu aufgefordert, den angehängten Ratgeber und ein Analysetool herunterzuladen. Bei dieser Datei handelt es sich dann um den Trojaner Locky.
  • Der Trojaner wird auch über Emails von originell gefälschten Firmeninternen/bekannten Email-Adressen Auch hier befindet sich im Anhang die Schädlingssoftware – als Absender wird dem Betroffenen beispielsweise die E-Mail-Adresse eines Kollegen angezeigt.
  • Vorsicht ist auch bei dauerhaft einwahlbereiten Sitzungen des Fernwartungsservices Teamviewer Auch hier wird die Schadsoftware Locky scheinbar verbreitet. Aus anderer Quelle geklaute Login-Daten werden hier der Reihe nach ausprobiert, um letztendlich via Fernsteuerung die Daten auf den betroffenen Rechner zu senden und dort zu installieren.

Übersicht Ransomware „Petya“:

  • Der Trojaner wird über den Cloud-Speicherdienst Dropbox verbreitet und manipuliert die Festplatte (Master Boot Record MBR) insoweit, dass das Betriebssystem nicht mehr ausführbar ist. Anschließend wird ein Blue Screen erzeugt, um einen Neustart des Rechners zu erzwingen. Dem Empfänger wird anschließend anstatt des Windows-Logos ein Totenkopfsymbol angezeigt und verdeutlicht, dass der komplette Rechner verschlüsselt sei. Die Erpresser fordern dann eine Lösegeldzahlung auf einer Seite im Tor-Netz.
  • Die getarnte Verbreitung der Schadsoftware ist derzeit in Form von Bewerbungsunterlagen zu beobachten. Der Absender erklärt in einwandfreiem Deutsch, dass die Bewerbungsdatei zu groß gewesen sei, um sie direkt in der Email anzuhängen und verweist auf einen Dropbox-Link, wo er die Datei angeblich hinterlegt hat. Darin befindet sich dann jedoch die Ransomware „Petya“.

Allgemeine Tipps um sich vor Locky, Petya & Co. zu schützen:

  • Wichtige Dateien sollten Sie grundsätzlich in regelmäßigen Abständen auf einem externen Speichermedium sichern. Falls es zu einem Trojaner-Befall kommen sollte, kann ein aktuelles Backup den Schaden deutlich mindern.
  • Öffnen Sie niemals verdächtige Dateien von unbekannten Absendern, unabhängig von der Art der angehängten Datei. Nicht nur offensichtliche Anwendungsdateien mit der Dateinamenendung .exe können Schaden anrichten, auch in Dokumentdateien, Zip-Dateien und Excel-Dateien kann die Schadsoftware enthalten sein. Auch Dropbox-Links, die Sie unaufgefordert durch Emails erhalten, sollten sie nicht öffnen, sofern Sie nicht genau wissen wer sich hinter dem Sender verbirgt.
  • Verlassen Sie sich nicht allein auf ihre Virusscanner-Software, da die Viren oft so neu sind, dass sie trotz aktueller Updates noch nicht als Gefahr erkannt werden können. Zusätzlich zum Antiviren-Programm kann die Einrichtung einer stets aktivierten Firewall schützen.
  • Bei firmeninternen Email-Verkehr mit Anhang sollte immer eine Signatur verwendet werden, da der Trojaner diese nicht einfügen kann. Bei Zweifel und Unsicherheiten fragen Sie lieber direkt beim Absender nach was sich in der Datei befindet.
  • Trojaner wie Locky und Petya werden auch durch Makro-Codes installiert. Diese Anwendungen dienen zur Automatisierung und kommen häufig in Office-Dokumenten zum Einsatz. Im Sicherheitscenter von Outlook können Sie alle Makros ohne Benachrichtigungen deaktivieren, um auch hier dem Eindringen von Schadsoftware vorzubeugen.

Denny Hölscher

Denny Hölscher

Als geschäftsführender Gesellschafter der prosoft Vertriebs- und Consulting GmbH verantwortet Denny Hölscher die Bereiche Vertrieb, Marketing und Support für Deutschland und Österreich. Sein Ziel: „Zufriedene Kunden, innovatives Marketing, optimale Prozessabläufe und solide Expansion.”

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>