Die meisten Unternehmen besitzen umfangreiche Sicherheitsmechanismen wie Firewalls, Webfilter, Anti SPAM-Email-Gateways und Virenscanner. Dennoch steigt die Anzahl der Angriffe durch Ransomware (Lösegeldsoftware) wie aktuell „Locky“ und „TeslaCrypt“ rapide an und die Abstände zwischen der Verbreitung und Veränderung neuer Trojaner-Varianten werden immer kürzer.

 

Das größte Problem der aktuellen Plage ist, dass viele Antivirenprogramme die Schädlinge gar nicht oder erst zu spät erkennen. Bei Locky dauert es Tage, bis eine Mehrheit der Antivirenprogramme die Installationsdatei als Gefahr erkennt.

Eine typische Infektion läuft

dabei wie folgt ab:

1. Ein Benutzer bekommt eine E-Mail, die angeblich von einem plausiblen Absender stammt, z.B. einem internen Scanner/Kopierer mit angehängtem gescannten Dokument, einem Paketdienst mit angehängten Zustellinformationen oder einem externen Unternehmen mit einer angehängten Rechnung.

 

 

 

 

2. Der Anhang der E-Mail enthält ein MS Word oder Excel-Dokument mit einem eingebetteten Makro. Wenn der Empfänger das Dokument öffnet, startet automatisch ein Makro, das folgende Aktionen ausführt.

 

 

 

 

3. Es versucht, von einer Reihe nur für kurze Zeit existierenden Webadressen (Einweg-URLs) den eigentlichen Krypto-Trojaner herunterzuladen. Wenn eine Webadresse nicht erreichbar ist, wird immer die nächste angesprochen, bis der Trojaner erfolgreich heruntergeladen wurde.

Das Makro führt somit den Trojaner aus.

 

 

 

 

4. Der Trojaner kontaktiert den Command & Control-Server des Trojaners, sendet Informationen über den infizierten Rechner und lädt einen für diesen Rechner individuellen öffentlichen Schlüssel herunter.

 

5. Mit diesem öffentlichen Schlüssel werden dann Dateien bestimmter Typen (Office-Dokumente, Datenbankdateien, PDFs, CAD-Dokumente, HTML, XML etc.) auf dem lokalen Rechner sowie auf allen erreichbaren Netzlaufwerken verschlüsselt

 

 

 

 

6. Häufig werden automatische Sicherheitskopien des Betriebssystems (Schattenkopien) gelöscht, um diese Art der Datenwiederherstellung zu verhindern

 

 

 

 

7. Anschließend wird dem Benutzerauf dem Desktop eine Nachricht dargestellt, wie ein Lösegeld (oft in Form von Bitcoins) innerhalb eines Zeitfensters von z.B. 72 Stunden gezahlt werden kann, um ein passendes Entschlüsselungstool mit dem – nur auf dem System des Angreifers zu findenden – privaten Schlüssel zu erhalten

Hilfe zu Präventivmaßnahmen finden Sie hier: