15/06/2016
In letzter Zeit treten immer häufiger die Infektionen mit der Ransomware (Erpressungstrojaner) „Locky“ auf.
Eine Infektion tritt zumeist auf, wenn die einer E-Mail angehängten Word Datei geöffnet wird. Zumeist sind diese E-Mails getarnt als Zahlungserinnerungen oder zuletzt auch als Bewerbung um einen Arbeitsplatz.
Wenn man die betroffene Word Datei öffnet, wird ein Makro ausgeführt, welches eine weitere Software (die eigentliche Schadsoftware) herunterlädt. Diese neu heruntergeladene Schadsoftware verschlüsselt viele bekannte Dateitypen (z.B. *.doc, *.xls, *.pdf, etc.) auf Ihrem Computer und den angehängten Netzlaufwerken (meistens sogar auch auf dem Server / NAS). Die Dateien können mit einer Lösegeldzahlung (ca. 500€ – 2500€) entschlüsselt werden, wobei das Bezahlen des Lösegeldes nicht empfohlen wird, weil die Entschlüsselung der Dateien nicht gewährleistet werden kann. Zumeist muss man in einem solchen Fall auf die erstellten Schattenkopien oder Backups zurückgreifen.
Bei täglichen Backups besteht allerdings das Problem, dass diese bis zur Erkennung des Trojaners zumeist mit infiziert sind. Wenn an Tag 1 die Infektion mit dem Trojaner stattfindet bemerkt man zumeist erst an Tag 2 die Infektion – der im neusten Backup enthaltene Datenbestand ist allerdings dann von Tag 1 und somit unbrauchbar – an dieser Stelle kann nur eine Mitnahmesicherung helfen (USB Festplatte / Bandsicherung).
In dem Textverarbeitungsprogramm Microsoft Word sind Makros standardmäßig deaktiviert. Das heißt, dass der Benutzer bei dem Öffnen der per E-Mail erhaltenen Datei aufgefordert wird, die Makros zu aktivieren (Informationsleiste im oberen Bereich von Word).
Wir empfehlen Ihnen keine an E-Mails angehängten Word – Dateien zu öffnen, es sei denn Ihnen ist der Absender bekannt und Sie erwarten diese E-Mail. Generell sollte man mit dem Öffnen von Dateianhängen sehr vorsichtig sein.
Eine weitere Sicherheit bietet das vollkommende Deaktivieren von Makros – was allerdings den „Nachteil“ bringt, dass auch nicht-schädliche Dokumente, in denen sich Makros befinden, nicht vollständig angezeigt werden können – dies können zum Beispiel ausfüllbare Formulare sein.
Die vollständige Deaktivierung der Makros kann wie folgt vorgenommen werden:
- Microsoft Word öffnen
- Auf „Datei“ und danach auf „Optionen“ klicken
- Auf der linken Seite des neu geöffneten Fensters auf „Sicherheitscenter“ bzw. auf „Trust Center“ klicken
- Rechts unten auf „Einstellungen für das Sicherheitscenter..“ bzw. auf „Einstellungen für das Trust Center…“ klicken
- Auf der linken Seite auf „Einstellungen für Makros“ bzw. auf „Makroeinstellungen“ klicken
- Die Einstellung „Alle Makros ohne Benachrichtigung deaktivieren“ auswählen und die geöffneten Fenster mit „OK“ schließen
Mit dieser Einstellung sind alle Makros deaktiviert, es erscheint nun auch beim Öffnen einer Word-Datei mit Makros keine Aufforderung die Makroausführung zu aktivieren.
Nähere Informationen zu dem .Locky-Trojaner finden Sie hier:
Allgemeine Informationen Trojaner / Ransomware: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/Schadprogramme/TrojanischePferde/trojanischepferde_node.html
Informationen zu Krypto-Trojanern wie Locky und Cerber: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2016/Krypto-Trojaner_22022016.html
Pressebericht zu Locky: http://www.heise.de/security/meldung/Erpressungs-Trojaner-Locky-schlaegt-offenbar-koordiniert-zu-3104069.html
Das ursprüngliche Trojanische Pferd bestand aus Holz und war eine Kriegslist der Griechen gegen die Trojaner. Der Legende nach versteckten sich ein paar Griechen im Bau des Pferdes. Sie gelangten so nachts nach Troja, weil die Trojaner das Pferd in die Stadt holten, um es der Göttin Athene zu schenk...
