Business Security

Ransomware: Die Rückkehr von Locky

Ransomware: Die Rückkehr von Locky
Die neuen Attacken von Locky sind auf KMU's ausgerichtet

Wer glaubt, dass die gefährliche Erpressersoftware Locky sich verkrochen hat, ist im Irrtum.  Erst kürzlich gab es erneut Spam-Wellen, die zum Öffnen eines im Anhang befindlichen PDF-Dokuments animieren wollten. Offensichtlich darin verborgen ist ein Erpressungstrojaner. Im Focus der neuen Attacken befinden sich nun KMU's.

KMU im Visier

Die Ransomware Locky ist bisher in diesem Jahr noch nicht aufgetaucht. Wie blog.botfrei nun aber berichtete, droht eine neue Attacke, die hauptsächlich auf kleine und mittelständige Unternehmen ausgerichtet ist. Ziel ist es dabei die Mitarbeiter gezielt mit bekannten E-Mail Adressen, persönlichen Ansprachen und zum Thema passenden Texten, zum Lesen und Öffnen des angehängten PDF-Dokuments zu bewegen.

Die Tarnung der Spam-Mails erfolgt unter anderem auch als Zahlungseingänge aus verschiedenen Bereichen. Mit Betreff-Angaben wie “Receipt 435, Payment Receipt 2724, Payment-2677, Payment Receipt_739, Payment#229”und dem Verweis auf weiterführende Informationen im Anhang.

Bild: myonlinesecurity.co.uk – Spam Mail, Bildquelle: blog.botfrei.de
Bild: myonlinesecurity.co.uk – Spam Mail, Bildquelle: blog.botfrei.de

Der Infektionsverlauf

Will man die im Anhang befindliche PDF-Datei öffnen, bittet der Adobe-Reader nach der Erlaubnis, ein weiteres Dokument zu öffnen. Mit dieser Erlaubnis wird aus dem PDF-Dokument eine zweite Datei in Form eines Word-Dokuments extrahiert und gestartet und außerdem aus der Word-Datei eine bösartige Makro-Skript-Anwendung aktiviert.

Mit dem Start des Macros lädt das Script unbemerkt im Hintergrund die eigentliche Locky-Infektion in Form einer verschlüsselten “Redchip2.exe” -Datei von “http://uwdesign.com.br/9yg65” herunter und startet den eigentlichen Verschlüsselungsprozess auf dem Computer. Locky löscht zudem die “Shadow Volume Copies” und versieht die verschlüsselten Dateien mit der Erweiterung „.OSIRIS“. Danach werden routinemäßig Statusaktualisierungen an den Command & Control Server unter “188.120.239.230/checkupdate” und “80.85.158.212/checkupdate” gesendet.

Warnung der Kriminellen, Bildquelle: blog.botfrei.de
Warnung der Kriminellen, Bildquelle: blog.botfrei.de

Was ist zu tun?

Blog.botfrei rät:

  • Angst und Einschüchterung ist immer die Motivation der Kriminellen: Kommen Sie möglichen Lösegeldzahlungen bitte nicht nach!! Können Sie Ihre verschlüsselten Dateien nicht einordnen, lesen sie hier>>
  • Leider gibt es zu diesem Zeitpunkt noch keine Möglichkeit, die von Locky verschlüsselten Dateien wiederherzustellen. 
  • Überprüfen Sie das System mit einem zweite Meinungs-Scanner, wie z.B. mit dem PC-Cleaner von Avira oder Malwarebytes.
  • Überprüfen Sie die Schattenkopien, wenn diese nicht gelöscht wurden, besteht hier eine Möglichkeit der Datenrekonstruktion.
  • Spielen Sie eine vorhandene Datensicherung zurück.
  • Falls keine Datensicherung vorhanden ist, nehmen Sie die Festplatte aus dem System und bewahren diese extern auf. Immer wieder zeigen sich einige Zeit später mögliche Wege, die Daten wiederherzustellen.

Maßnahmen die getroffen werden können, bevor Ransomware den Rechnerinfiziert:

Installieren Sie den HitmanPro.Alert. Dank der verbauten Funktion “CryptoGuard” erkennt unser Impfstoff auch Aktivitäten von Verschlüsselungs-Trojanern. Er schlägt immer dann an, wenn Dateien verändert werden sollen und wichtige Meta-Daten, wie z.B. die Eigenschaft ein Word-Dokument zu sein, verlieren. Um Sie vor der Verschlüsselung zu schützen, stoppt unser “Watchdog” den Prozess der hierfür verantwortlich ist und spielt die zuvor angelegten und im Arbeitsspeicher gehaltenen Sicherheitskopien der Dateien auf Ihre Platte zurück.

  1. Wichtiger denn je, machen Sie regelmäßig Backups von ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Schauen Sie sich dazu das kostenfreie EaseUS Todo Backup an. Oder lesen Sie hier, wie Dateien über Windows gesichert werden können>>
  2. Deaktivieren Sie Macros in Office, laden Sie Dokumente nur aus vertrauenswürdigen Quellen! Gut zu Wissen: Macro-Infektionen sind in alternativen Office-Anwendungen wie Libre-Office nicht funktionsfähig.
  3. Überprüfen Sie Ihren Rechner mit unseren kostenfreien EU-Cleanern>>
  4. Schützen Sie Ihren Computer vor einer Infektion, indem Sie das System immer“up-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein.
  5. Ändern Sie die Standardeinstellung von Windows, welche die Datei-Erweiterungen ausblendet>>
  6. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht auf integrierte Links, bzw. öffnen Sie niemals unbekannte Anhänge.
  7. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
  8. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac

Brauchen Sie dazu Hilfe? Das Botfrei-Team bietet ein kostenfreies Forum an. Experten helfen „Schritt für Schritt“ bei der Lösung, Entfernung und nachhaltigen Absicherung des Compu ters. Damit die Experten auf Sie aufmerksam werden und helfend unterstützen können, sollten Sie sich im Forum anmelden und einen Beitrag erstellen in dem Sie Ihr Problem schildern. Nur dann kann individuell geholfen werden.

Weiterführende Links:

Schutz vor Ransomware

Blog.botfrei.de: Erpressungs-Trojaner Locky is back

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
Business Security

Datenrettungs-Experte schlägt Alarm: Fehlende IT-Notfallpläne als offene Flanke im Kampf gegen Ransomware

Ransomware - Datenklau - Datenrettung
Foto: harshahars - pixabay.com

IT-Sicherheitsstrukturen deutscher und internationaler Unternehmen sind durch die rasanten Innovationen digitaler Technologien sowie politischen, ökonomischen und ökologischen Herausforderungen stark gefordert.

Business Security

Schutz vor DDoS-Angriffen: Warum Prävention entscheidend ist

Foto: Canva

In der Ära der digitalen Transformation stehen Unternehmen und Behörden vor einer zunehmenden Abhängigkeit von digitalen Plattformen und Diensten, die eine effiziente Geschäftsabwicklung ermöglichen. Doch während die Digitalisierung unbestreitbare Vorteile bietet, öffnet sie auch Tür und Tor für eine Vielzahl von Cyberbedrohungen.

Business Security

Ausgeklügelte Spyware Pegasus Schach matt? Sicherheitsanbieter Kaspersky stellt Selbst-Check-Tool kostenfrei auf die Software-Plattform GitHub

Im Sommer 2021 machte eine Spyware Schlagzeilen, als bekannt wurde, Cyber-Sicherheitsexperten hätten, entdeckt dass die Handytelefonen von 14 Staatsoberhäuptern infiziert seien. Dort installiert und versteckt war die ausgeklügelte Malware Pegasus. Ursprünglich von israelischen Software-Entwicklern aufgelegt, um kriminelle Aktivitäten auszuspionieren, scheint die Software selbst in kriminelle Hände geraten zu sein und sich zu verbreiten.

Business Security

Werden viele CISOS ihrer Rolle als Gesamtverantwortliche für Informationssicherheit in ihren Unternehmen nicht gerecht?

Basierend auf einer Umfrage unter 300 leitenden IT- und IT-Security-Angestellten sowie 250 Mitarbeitern auf IT- und IT-Security-Team-Ebene warnt das Brandenburgische Institut für Gesellschaft und Sicherheit (BIGS) vor im Status quo lauernden Gefahren für deutsche Unternehmen.

Diese Themen könnten Sie auch interessieren!

X

Erfolgreiche Ransomware-Akteure zielen auf die Schwachstellen bei kleinen und mittleren Unternehmen

Ransomware-Gruppierungen spezialisieren sich mehr und mehr. Die Cyber-Kriminellen nehmen bestimmte Branchen, Big Player...
oben