Aktuelles

Zunehmende Gefahr durch aggressive Verschlüsselungs-Trojaner

Seit Anfang der Woche grassiert in Deutschland der Erpressungs-Trojaner „Locky“. Bereits seit einigen Wochen kursieren verschiedene Versionen eines Verschlüsselungs-Trojaners unter den Namen Tesla, Tesla2, Tesla3 oder TeslaCrypt. Zudem sind unter anderen Namen weitere Erpressungs-Trojaner (sog. Ransomware) im Umlauf.

Der Trojaner wird meist über E-Mail-Anhänge mit Word- oder Excel- Dateien verteilt, die angeblich Rechnungen oder ähnliche plausible Inhalte enthalten. Beim Öffnen des Anhangs wird ein versteckter Makro-Schadcode ausgeführt. Er verschlüsselt alle verfügbaren Dateien, auf die der Benutzer zugreifen kann. Dies schließt auch alle Daten der Netzwerklaufwerke mit ein, auf die der Benutzer Zugriff hat. Die Netzwerkziele müssen dafür nicht als Laufwerk verbunden sein. Im Anschluss wird in einigen Fällen eine Lösegeldforderung gestellt, um die Daten wieder zu entschlüsseln. Nach anfänglicher Konzentration auf Behörden und Krankenhäuser werden seit neuestem auch Unternehmen attackiert und erpresst.

Was sind mögliche Gegenmaßnahmen?

Gegenwärtig gibt es offenbar keine Möglichkeit, die verschlüsselten Daten zu retten, ohne dass man das geforderte Lösegeld an die Entwickler zahlt. Deshalb gilt es, intensiv Vorsorge und Aufklärung bei den Benutzern zu betreiben, damit ein Angriff durch Locky & Co. bereits im Vorfeld verhindert werden kann:

  • Keine Dateianhänge von E-Mails öffnen, die man nicht explizit angefordert hat und an deren Vertrauenswürdigkeit auch nur der geringste Zweifel besteht. Dies gilt auch, wenn E-Mails von bekannten Adressen stammen, da sich Absenderadressen leicht verfälschen lassen und dies im Fall TeslaCrypt auch getan wird.
  • Insbesondere Rechnungs-/Mahnungs-Mails werden als Überträger der Trojaner genutzt. Deshalb gilt es, derartige Anhänge unter keinen Umständen zu öffnen.
  • Keine ausführbaren Dateien starten, an deren Vertrauenswürdigkeit gezweifelt wird.
  • Makro-Code sollte nur bei Dokumenten aus vertrauenswürdigen Quellen zugelassen werden – und auch nur dann, wenn es unbedingt notwendig ist. Microsoft Office sollte so konfiguriert werden, dass Makro-Code gar nicht oder erst nach einer Rückfrage ausgeführt wird.
  • Backups der wichtigen Dateien sollten regelmäßig angelegt werden. Der Backup-Datenträger darf nicht dauerhaft mit dem Rechner verbunden sein, da er im Falle eines Befalls sonst ebenfalls verschlüsselt wird.

Da es auch trotz eines guten und aktuellen Spam- und Virenschutzes zu einem Befall kommen kann, ist der vorsichtige Umgang mit derartigen E-Mails äußerst wichtig, um einen Befall zu vermeiden. Sollte es dennoch zu einer Verschlüsselung kommen, sollte das System, von dem die Verschlüsselung ausgeht, möglichst schnell vom Netzwerk getrennt werden, um die Verschlüsselung weiterer Netzwerkpfade zu unterbinden. Im Anschluss daran müssen alle betroffenen Ordner und Dateien aus einem Backup wiederhergestellt werden, da es in fast allen Fällen keine Möglichkeit gibt, die Dateien wieder zu entschlüsseln. Ein funktionierendes Backup-System ist in diesem Fall von großer Bedeutung!

 

Zurück

BT Stemmer GmbH
Peter-Henlein-Straße 2
82140 Olching
Telefon: +49 (0)8142 45 86-0
Telefax: +49 (0)8142 45 86-199
E-Mail: info@bt-stemmer.de
Internet: www.bt-stemmer.de