Locky – Ransomware verschlüsselt Daten und fordert Lösegeld

Am 15.02.2016 ging ein neuer Verschlüsselungstrojaner auf Server und Clients los. Über die Herkunft ist noch wenig bekannt, ebenso über die Verbreitungsmechanismen. Es wird vermutet, dass der Virus ich schon lange vor dem Angriff auf den betroffenen Systemen eingenistet hat, vermutlich durch Hintertüren beim FlashPlayer. Es gibt Berichte wonach eine als Rechnung getarnte Email dann den Auslöser gab, die den Virus aktivierte.

Besondere Vorsicht gilt Email-Anhängen mit dem Format .docm

Was passiert, wenn Locky aktiv wird?

Eine schnelle Sichtung auf einem Kundenserver ergab, dass die Dateien in kryptische Zeichenfolgen umbenannt wurden und die Endung .locky erhalten haben. Dateien die so verschlüsselt wurden sind Stand heute verloren, da sie verschlüsselt wurden und der Schlüssel entweder nicht bekannt ist, oder bei der Verschlüsselung mit Zufallszahlen gearbeitet wird und somit so gut wie unumkehrbar ist.

Hat Locky seine Arbeit vollendet weist der den Nutzer darauf hin und fordert die Zahlung eines Betrags zwischen 300 und 400 EUR an einen Bitcoin Account, diese Zahlung ist kaum nachverfolgbar. Darüber hinaus darf auch angezweifelt werden, dass eine Bezahlung zur Entschlüsselung der Dateien führt.

Wie sollte man sich verhalten wenn man bemerkt dass Dateien verschlüsselt werden?

Das erste Gebot, wenn Sie merken, dass auf Ihrem System Dateien mit der Endung .locky auftauchen..

..lautet: RECHNER AUSSCHALTEN!

Versuchen Sie nicht den Rechner selbst zu retten oder mit einem verzweifelten Schnell-Scan dem Virus Herr zu werden. Solange der Rechner läuft, verschlüsselt Locky Dateien. Während der Virenscanner läuft oder Sie versuchen den Trojaner zu beseitigen, verschlüsselt er also weiter. Nehmen Sie lieber den Verlust einiger weniger Daten in Kauf anstatt alle zu riskieren.

Wenn Sie Zugang zu einem „sauberen“ Rechner haben, besorgen Sie sich eine Antiviren-Boot-CD und starten Sie das System von der CD. Aber auch hier ist Vorsicht geboten.

In unserem konkreten Fall konnten wir die verschlüsselten Daten aus einem Backup wiederherstellen und die befallenen Rechner ausfindig und unschädlich machen. Gerne helfen wir Ihnen bei Fragen und der Bereinigung.

Auch in diesem Fall ist ein Backup Gold wert. Sollten Sie zu den Glücklichen zählen, die von Locky verschont wurden, nutzen Sie die Gelegenheit und sorgen Sie für eine durchdachte Backupstrategie. Vielleicht haben Sie beim nächsten Viren-Angriff nicht so viel Glück.

FAZIT:

Sind Sie von Locky betroffen, schalten sie den Computer unverzüglich aus. Fragen Sie einen Fachmann um Rat. Jede Minute die Sie mit der Behebung zubringen, kann Sie Daten kosten. Sorgen Sie für ein regelmäßiges Backup und seien Sie vorsichtig, bei Rechnungen die Ihnen per E-Mail zugestellt werden.

Die Devise lautet: Bewahren Sie einen kühlen Kopf, Panik ist ein schlechter Ratgeber und bezahlen Sie auf keinen Fall die geforderte Summe. Investieren Sie lieber einen Bruchteil dieser Forderung in eine professionelle Bereinigung und eine Backup-Lösung.

Wir unterstützen Sie dabei gerne.