Ransomware Locky ist tot, lang lebe Locky!

Die erste Angriffswelle von Locky ist vorbei. Die Ransomware verbreitet sich jedoch weiterhin global und in der DACH-Region. Die zweite Welle der Verbreitung scheint kleiner zu sein als die erste. Den finanziellen Erfolg, den die Autoren mit der Malware erzielen konnten, geben Anhaltspunkte, wie die Funktionen der NÄCHSTEN Welle aussehen könnten. „Folge dem Geld“ war der Leitspruch aus dem Film „Die Unbestechlichen“ mit Robert Redford – dieses Motto gilt auch für Malware. Locky gibt uns eine Mischung aus technischen, verbreitungstechnischen und funktionellen Hinweisen an die Hand. Diese können auch als Warnung an Computeranwender und Unternehmen verstanden werden, um ihre Abwehrmechanismen zu planen.

  1. Kein Laufwerk ist sicher: Locky verschlüsselt alle Laufwerke auf Computern und in Netzwerken, sogar nicht zugeordnete und freigegebene Laufwerke. Diese umfassende Verschlüsselung wird wahrscheinlich in weiteren Ransomware-Varianten ein wichtiges Merkmal sein.

Antwort: Führen Sie regelmäßig ein Backup Ihrer Daten durch. Ein Cloud-Service eignet sich hier besonders gut, da eine Dateiversionsverwaltung und Rollbacks möglich sind. Anwender, die HDDs oder SSDs für das lokale Backup verwenden, sollten darauf achten, dass die Festplatten nach der Datensicherung vom Computer getrennt werden müssen. Die gesicherten Daten sind auf diese Weise nicht nur vor einer Verschlüsselung, sondern auch vor elektrischer Überspannung (z. B. bei Blitzschlag) geschützt.

  1. Fallen Sie nicht auf alte Tricks herein: Der Erfolg von Locky ist eine Kombination aus Makros in Word-Dokumenten und Social Engineering, um den Anwender dazu zu bewegen, diese Makros zu aktivieren. Diese Tricks sind nicht neu, haben aber wunderbar funktioniert und den Cyberkriminellen in die Hände gespielt.

Antwort: Obwohl man sich gegen Zero-Day-Attacken kaum im Vorfeld wappnen kann, sollten Sie trotzdem immer einen Basisschutz haben, um sich vor manipulierten Makros zu schützen. Überlegen Sie, ob das digitale Signieren von Office-Makros und das Deaktivieren aller anderen Makros für Sie in Frage kommt. In Unternehmensnetzwerken kann dies so gestaltet werden, dass diese Option für Endbenutzer nicht sichtbar ist.

  1. Auf dem Weg des geringsten Widerstands: Zu Beginn der Verbreitung von Locky wurde darauf hingewiesen, dass die meisten Antivirus-Programme im Onlinedienst VirusTotal kaum in der Lage sind, die Malware zu erkennen. Dies ist nicht die ganze Wahrheit. Locky ist eine FUD-Malware, eine vollständig unbemerkte Malware (Fully UnDetected). Das heißt, dass die Malwaredateien so „optimiert“ wurden, dass kein Antivirenscanner sie bemerkt. Cyberkriminelle testen ihre Malware-Anwendungen mit den öffentlich verfügbaren Antivirus-Programmen in VirusTotal und auf ähnliche Weise mit privaten und internen Testsystemen. Diese behaupteten, geringen Erkennungsraten sind daher mit Vorsicht zu genießen. Nur wenige Anbieter von Antivirus-Programmen bieten auch ihren Cloud-Schutz oder die vollständigen Erkennungsmethoden in den für VirusTotal bereitgestellten Programmen an. Nicht jedes Unternehmen setzt alles auf eine Karte bzw. bietet alle Funktionen in VirusTotal.

Antwort: Bleiben Sie vorsichtig und halten Sie die Augen offen.

  1. Weisheit aus der Cloud: Locky hat dank mehrerer Schutzschichten und der Analyse in der Cloud bei Avira keine Chance. Im AutoDump-Erkennungssystem wird Locky erkannt, sobald mehrere Verschleierungsschichten entfernt werden. Mit dem Modul NightVision werden Dateien mithilfe von etwa 7.000  Features bewertet. So kann Malware sehr effizient erkannt werden. Falls andere Erkennungsschichten die Malware zuerst erkennen, lernt NightVision durch maschinelles Lernen dynamisch innerhalb weniger Minuten von dieser Anwendung. Weitere Varianten dieser Malware-Anwendungen sind somit auch gleich abgedeckt. Die Analyse in der Cloud ist außerdem außerhalb der Reichweite von Cyberkriminellen.

Antwort: Um sich vollständig zu schützen, aktivieren Sie den Cloud-Schutz in Ihrem Antivirus-Programm. Da uns dies sehr wichtig ist, haben wir alle Privatanwender in unsere Avira Cloud-Sicherheit automatisch mit einbezogen. Unternehmenskunden müssen aus Gründen des Datenschutzes die Endbenutzer-Vereinbarung unterschreiben, bevor sie in die Avira Cloud-Sicherheit aufgenommen werden können.

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.