Ein aggressiver Erpressungs-Trojaner ist in Deutschland auf dem Vormarsch. Pro Stunde sollen es mittlerweile mehr als 5.000 neue Infektionen sein. Wichtig: Keine Anhänge von Absendern öffnenFehler, Gruppe existiert nicht! Überprüfen Sie Ihre Syntax! (ID: 3), die man nicht kennt.
Ein neuer Trojaner namens „Locky“ infiziert derzeit vor allem deutsche Computer. Der Schädling versendet Emails mit
frei erfundenen Rechnungen. Klickt der User auf den Anhang, riskiert er die Verschlüsselung seiner gesamten PC-Daten und damit deren Verlust. Ziel der Täter ist die Erpressung von Lösegeld.
Der Windows-Trojaner ist momentan kaum zu bändigen. Er hebelt Sicherheitseinstellungen in Microsoft Outlook aus. Auch von Antiviren-Programmen wird der Schädling nicht erkannt. Besonders tückisch: „Locky“ befällt nicht nur den eigenen Rechner, sondern dringt auch in vorhandene Netzwerke ein, um sich so weiter zu verbreiten. Einmal infiziert, ist eine Datenrettung im Augenblick noch nicht möglich (Verrückt: Suchmaschine lässt einen auf fremde Webcams zugreifen).
Rund 5300 Neuinfektionen pro Stunde soll es aktuell hierzulande geben, berichtet Heise. Damit liegt die Infektionsrate in Deutschland deutlich vor Ländern wie den Niederlanden (2900) und den USA (2700).
Auch das Fraunhofer-Institut in Bayreuth zählte in dieser Woche zu den Opfern. Der Virus legte dort mehrere Dutzend PC-Arbeitsplätze lahm, indem er die Daten auf einem zentralen Server verschlüsselte und damit unbrauchbar machte (Die US-Regierung hat einen Internet-Killswitch… und das geht niemanden was an).
„Gegen den Verschlüsselungs-Trojaner Locky ist noch kein Kraut gewachsen“, schreibt Heise. Geraten wird deshalb unter anderem zu regelmäßigen Backups der wichtigen Dateien.
Außerdem sollten Betriebssystem, Office, Browser und Plug-ins auf dem aktuellsten Stand gehalten und das System durch einen Virenscanner geschützt werden.
Wichtig zudem: „Öffnen Sie keine Dateianhänge von Mails, an deren Vertrauenswürdigkeit auch nur der geringste Zweifel besteht.“
Das Bundesamt für Sicherheit in der Informationstechnik rät, auf keinen Fall auf die Lösegeldforderungen einzugehen, sondern Anzeige zu erstatten. In vielen Fällen würden auch nach einer Zahlung die Daten nicht wieder entschlüsselt (Neuer Fehlercode für Internetzensur lautet „451“ (Video)).
Datenrettung nach der Infektion
Ist Locky bereits aktiv, dann kann man nur noch versuchen, zu retten, was noch zu retten ist. Ertappt man den Schädling auf frischer Tat, sollte man Windows umgehend herunterfahren oder notfalls den Stecker ziehen, um die Verschlüsselung zu stoppen. Anschließend startet man den Rechner mit einer Antiviren-DVD wie Desinfec’t und versucht den Schädling zu eliminieren.
Windows legt automatisch Schattenkopien diverser Dateien an, aus denen man die bereits verschlüsselten Dateien mit etwas Glück wiederherstellen kann. Sie können versuchen, die Schattenkopien von einem sauberen System mit Tools wie ShadowExplorer zu retten. Allzu große Hoffnungen sollte man sich allerdings nicht machen, da Locky sämtliche Schattenkopien routinemäßig löscht.
Allerdings sind heise Security einige Fälle bekannt, in denen dieser perfide Mechanismus nicht ausgelöst wurde. Ferner können Sie versuchen, die gelöschten Originale mit Forensik-Tools wie Recuva, Autopsy oder photorec zu rekonstruieren.
Hilft das alles nichts, sollten Sie die verschlüsselten Dateien unbedingt aufheben. Oftmals wird nach einiger Zeit ein Weg bekannt, die Verschlüsselung der Erpressungs-Trojaner zu knacken – wie etwa im Fall von TeslaCrypt 2.
Literatur:
Die globale Überwachung: Der Fall Snowden, die amerikanischen Geheimdienste und die Folgen von Glenn Greenwald
Bürger im Visier der Geheimdienste
Die Akte Wikipedia: Falsche Informationen und Propaganda in der Online-EnzyklopädievonMichael Brückner
NSA, BND & Co.: Die Möglichkeiten der Geheimdienste: Technik, Auswertung, Gegenmaßnahmen von Gilbert Brands
Quellen: PublicDomain/Deutsche-Wirtschafts-Nachrichten am 20.02.2016
