Seit zwei Wochen ist ein Trojaner im Internet unterwegs, der ganze Festplatten oder einzelne Dateien verschlüsselt und anschließend eine Mail mit der Lösegeldforderung schickt. Gegen Bezahlung von 0.5 Bitcoins (derzeit etwa 200 €) pro Rechner würde man den Schlüssel zum Entschlüsseln der eigenen Dateien erhalten. Gegen diese Ransomware (Erpressungs-Software) gibt es derzeit keinen Schutz und keine Mittel zur Behebung des Schadens. Innerhalb weniger Tage wurden bereits 500.000 Rechner infiziert und Millionen erpresst.

Dieser Trojaner ist besonders gefährlich, da er sich erst einnistet und schläft. Er wird vermutlich ferngesteuert ausgelöst und beginnt dann mit dem verschlüsseln mit einen 2048-Bit RSA-Kryptoschlüssel und einer AES-Verschlüsselung, die selbst die NSA vor Probleme stellen würde. Die Dateien haben dann die Endung .locky, was dem Trojaner auch den Namen gab. Da sich der Trojaner auch über Netzwerke verbreitet, kann in Unternehmen ein gravierender Schaden entstehen. Eine Klinik bezahlte angeblich 17.000 US$ für die Entschlüsselungssoftware „Locky Decryptor“.

Wie infiziert man sich?

Der wohl häufigste Infektionsweg ist ein Email-Attachment mit einer Rechnung in Word (*.doc) Format oder als ZIP-Datei. Die Mails sind in einwandfreier deutscher Sprache. Öffnet man die angebliche Rechnung aus dem Anhang, so hat man Locky gestartet.

Es gibt aber auch den Weg über normale Webseiten. Ein Klick auf den falschen Link und man startet über eine Sicherheitslücke (unbedingt alle aktuellen Patches einspielen) den Trojaner.

Wie schützt man sich?

Derzeit gibt es keinen wirksamen Schutz gegen diese Ransomware. Alle Virenscanner lassen den Trojaner passieren. Kaspersky behauptet, dass ihre Schutzsoftware zumindest die Weiterverbreitung verhindern würde. Das hilft im Netzwerk, aber nicht für den Arbeitsplatzrechner. Da bleibt nur ein möglichst aktueller Backup zur Wiederherstellung der verlorenen Daten.

Man sollte nur Email-Anhänge öffnen, deren Absender man kennt und die einem plausibel erscheinen. Eine Mahnung oder Rechnung von einer Firma, die in keiner Geschäftsbeziehung mit ihnen steht, sollten sie nicht öffnen. Da der Trojaner bislang nur auf Windows-Systemen wirkt, können sie mit einem Smartphone diese Mailanhänge ansehen und prüfen.

Installieren sie alle verfügbaren Updates für ihr Betriebssystem und ihre Office-Software. Schalten sie die automatische Ausführung von Makros ab. Sichern sie ihre Daten auf einer verschlüsselten Platte, die sie nach der Sicherung versperren oder vom Rechner trennen.

Es bleibt zu hoffen, dass in den nächsten Wochen die Virenscanner den Trojaner identifizieren und blockieren können. Bezahlen sollte man nicht, da die Erpresser die Entschlüsselungssoftware nicht immer zusenden würden.