Vorgeschlagen

weitere Beiträge

Locky Ransomware - nur ein Klick und es ist passiert

In eigener Sache und aus der Praxis:
 

  1. Antivirus Programme wurden ausgehebelt.
  2. Task-Analyseprogramme wurden gesperrt.
  3. Dateien wurden infiziert und verschlüsselt.

So sieht es in den betroffenen Verzeichnissen aus. Dateien wurden verschlüsselt und mit der Erweiterung ".locky" (geschlossen/verschlüsselt) gekennzeichnet.
Zusätzliche befindet sich noch eine Datei zur Information in den Verzeichnissen.

Nicht nur Office Dateien sind betroffen,

auch alle anderen die im Windowssystem registriert sind. Hier z.B. Dateien von AutoCAD.


 

So könnte z.B. eine E-Mail mit Anhang aussehen.

Hier haben wir einen Filter eingebaut (in Exchange), welcher Anhänge mit einem bestimmten Typ zur Vorsicht für den Benutzer markiert "!*** DOC ***!"

Nach dem Öffnen des Dokuments, wird mit Hilfe eines Makro (Code in dem Dokument) welches sich in dem Dokument befindet, das eigentliche Schadprogramm aus dem Internet heruntergeladen. Das kann z.B. auch eine zuvor kompromittierte Webseite sein, wo der Schadcode eingeschleust wurde.

So sieht der ausführbare Code in diesem Dokument aus. Dieser wird jedoch ständig verändert, was eine Erkennung für die Antivirenprogramme schwerer machen soll.

Bei (1) startet die Abarbeitung des Programm-Codes (das Makro) sobald das Dokument geöffnet wird.
Unter (2) ist in dem Fall sogar die Internetadresse zu erkennen von wo weiterer Programmcode nachgeladen wird. Wir können hier auch die Verschleierung (3) der eigentlichen Befehle erkennen die Stück für Stück zusammengebaut werden.

Unter (9) wird ein Befehl zusammengebaut der den heruntergeladenen Programmcode letztendlich auf dem System ausführt.

Ich bin betroffen, was soll ich tun?
 

  • Vermeiden Sie die weitere Ausbreitung in Ihrem Netzwerk. Schadensbegrenzung sollte oberstes Ziel sein! 
  • Zahlen Sie nicht das geforderte Lösegeld.
  • Erstatten Sie Anzeige bei einer örtlichen Polizeidienststelle oder über uns.
  • Geschädigte Firmen sollten Sich unverzüglich mit einem Spezialisten in Verbindung setzen.

Kann ich vorbeugen?

Es gibt einige Maßnahmen die man zur Vorbeugung unternehmen kann, z.B. Sensibilisierung auf das Thema.
Fragen Sie am besten Ihren Administrator oder IT Dienstleister.

Beispiele:

  • Eine Rechnung als Worddatei unterliegt in Deutschland nicht der geltenden Vorschrift (weil z.B. veränderbar).
  • E-Mails mit gefährlichen Anlagen könnten zur besonderen Vorsicht markiert werden - siehe oben.
  • Die Option zum Ausführen von Makros in Microsoft Office könnte sicherer eingestellt werden.
  • Natürlich das System aktuell halten und Sicherheitsprogramme nicht deaktivieren.