Krypto-Trojaner Cryptowall, TeslaCrypt und Locky

Krypta-Trojaner anhand von Locky in an Nutshell:

  1. Was ist Locky:
    Locky ist eine sogenannte Ransomware oder auch Erpressungstrojaner, welcher Benutzerdaten verschlüsselt und diese nur gegen ein Lösegeld wieder entschlüsselt. Momentan kostet das Entschlüsseln einen Bitcoin.
  2. Wie funktioniert Locky:
    Locky wird über eine Skript welches vorzugsweise in Dateien wie Word, getarnt als Rechnung/Mahnung oder als Java File per e-Mail verschickt wird. Öffnet man diese besagte Datei, so wird der eigentliche Trojaner aus dem Internet nachgeladen, der dann die Verschlüsselung durchführt.
    Auf Grund dieser Tatsache, dass in den e-Mails nicht der eigentliche Verschlüsselungs-Trojaner verschickt wird, sind Virenscanner nahezu machtlos, da ein Skript nicht immer gleich „böse“ sein muss und keine Viren-/Trojaner-Signatur enthält.
  3. Was macht Locky:
    Locky verschlüsselt nur lokale Benutzerdaten, also keine Systemdateien, somit ist der Rechner auch nach einem Angriff verwendbar, sprich ein kompromittierter Rechner startet weiterhin wie gewohnt nur die vom Benutzer gespeicherten Daten wie Dokumente, Bilder usw. sind verschlüsselt. Daten auf externen Speichermedien welche zum Zeitpunkt der Verschlüsselung nicht mit dem Rechner verbunden sind, sind natürlich nicht betroffen, darum sollte man wichtige Dokumente immer als Backup auf einem oder mehreren externen Datenträgern sichern.
  4. Wer ist gefährdet:
    Tendenziell jeder, da Locky über e-Mail-Verteiler an willkürliche Empfänger versendet wird. Somit ist jeder ein potenzielles Opfer dieser Verschlüsselungs-Trojaner.
  5. Was kann man gegen Locky tun:
    Nun ja, wer das Prinzip hinter Locky verstanden hat weiss zumindest, schonmal worin sich ein Skript verstecken kann, welches Locky nachlädt.
    Somit sollte man mit diesem Wissen schonmal skeptischer seine e-Mails begutachten. E-Mails von unbekannten Absendern sollte man daher genaust begutachtet werden und im Zweifel erst garnicht geöffnet werden. Anhänge von e-Mails deren Herkunft unbekannt ist, niemals öffnen! Virenscanner immer auf dem neusten Stand halten, auch wenn hier die Erkennung unter 50% fällt, aber besser als gar kein Schutz.
  6. Zweifelhafte e-Mails (nur für erfahrene Nutzer):
    Tipp: sollte eine zweifelhafte e-Mail dennoch aus bestimmten (wichtigen) Gründen dennoch geöffnet werden müssen, so gehen Sie zu aller erst offline, dann können Sie diese Mail öffnen, denn sollte jetzt ein Skript ausgeführt werden, welches Locky aus dem Netz herunterladen möchte, ist dies unmöglich und eine Fehlermeldung wird erscheinen, dass eine Datei nicht gefunden werden kann.

 

Sicherheit erhöhen:
Es gibt natürlich diverse Vorkehrungen die man treffen kann, um einen höchstmöglichen Schutz gegen diese Art von Angriff zu garantieren, Backups und Traffic-Filtering.

Backups: (kommt noch)
Traffic-Fildering: (kommt noch)

3 Kommentare

  1. Sehr geehrter Herr Haberland.
    Ich finde ihrem Blog einfach klasse und konnte auch schon einiges on ihnen lernen.
    Ich würde mich freuen wenn mehr rund um das Thema Hacking und Cracking folgen würde, da mich dies sehr interessiert, ich auch dauernd mit soetwas beschäftigt bin und man ja nie auslernt. :]
    Mit freundlichen Grüßen,
    N3w4ntr4x

  2. Hallo Herr Haberland,

    können Sie mir u.U. einzelne Kurse an der TU (oder im näheren Umfeld) für einen Überblick in die Materie empfehlen? Ich selbst schließe gerade mein Studium an der TU ab und muss mit ernüchterung Feststellen, das auf dem Arbeitsmarkt ohne Zertifizierte IT Kenntnisse kaum interessante Jobs zu finden sind.

    Vielen Dank für Ihre Hilfe

    Beste Grüße

    S.P.

Antworten

Deine E-Mail-Adresse wird nicht veröffentlicht.


*