Locky: Warum Cloud-Speicher dann doch hilfreich sein kann

Sicherheit, Malware, SemperVideo, Ransomware, Locky Sicherheit, Malware, SemperVideo, Ransomware, Locky
Die Entwickler der Ransomware Locky scheinen gerade eine kleine Pause einzulegen - die nächste Welle lässt aktuell zumindest auf sich warten. Unsere Kollegen von SemperVideo nutzen die Gelegenheit, auf verschiedene Fragen einzugehen, die in den letzten Tagen zwar teilweise beantwortet wurden, bei denen es aber noch immer Unklarheit gibt.

Wir gehen davon aus, dass die dann doch technisch versierteren Leser ohnehin nicht selbst betroffen sein dürften. Allerdings muss der eine oder andere wohl im Bekanntenkreis jemandem helfen, der unvorsichtig genug war und infizierte E-Mail-Anhänge geöffnet hat. Bei diesen besteht unter bestimmten Voraussetzungen Hoffnung, dass sie auch ohne Backup und ohne das Bezahlen des Lösegeldes zumindest einen Teil ihrer Daten zurückbekommen.

Das gilt für Dateien, die über einen angebundenen Cloud-Dienst auch mit dem jeweiligen Online-Speicher synchronisiert werden. Bekanntermaßen verschlüsselt Locky zwar auch Dateien auf Cloud-Speichern, wenn diese ins Dateisystem eingebunden sind, doch kann den Nutzern hier die oft integrierte Versionsverwaltung zu Gute kommen. Diese ist in der Regel über die Web-Oberfläche des jeweiligen Dienstes erreichbar. Hier besteht dann auch die Möglichkeit, eine von Locky verschlüsselte Datei durch eine vorhergehende Version auszutauschen und so wieder an die Daten zu kommen.

Vorbeugend funktioniert das nicht

Dies sollte aber tatsächlich nur als Notfall-Tipp gewertet werden, keineswegs aber als vorbeugende Maßnahme für zukünftige Krypto-Trojaner. Denn es muss immer damit gerechnet werden, dass die Entwickler ihre Malware weiterentwickeln und dafür sorgen, dass genau solche Methoden vielleicht nicht mehr funktionieren. Vorbeugend bleibt also alles beim Alten: Regelmäßige Backups anlegen und nicht auf E-Mail-Anhänge aus nicht vertrauenswürdiger Quelle klicken.

Und weil entsprechende Fragen auftauchten - anbei eine Liste aller Datei-Formate, die Locky in den bisherigen Versionen suchte und für seine Erpressungsmasche nutzte:

.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11, .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

Download
EaseUS Todo Backup Free - Kostenloses Backup-Tool für Windows
Dieses Video empfehlen
Kommentieren11
Jetzt einen Kommentar schreiben
 
Na, freundlicherweise haben die doch glatt MP3 vergessen, ansonsten ist die Liste ja schon ganz schön fies!
 
http://blog.emsisoft.com/de/2016/02/25/unglaublich-aber-wahr-wie-ransomware-fuer-einen-reiseanbieter-beinahe-zur-letzten-reise-wurde/
Dieser Artikel von Emsisoft zeigt sehr gut was so alles schiefgehen kann ;)
Naturlich nutzen sie die gelegenheit um ein bisschen Werbung für ihre Antivierensoftware zu machen aber es passt trotzdem wunderbar zum Thema.
 
Ich favorisiere immer noch die heimische Datensicherung - Jeden Freitag, auf eine temporär angeschlossene Festplatte. Der Vorteil: Niemand, außer mir kann die Daten ansehen. In der Cloud holen sich zu viele Fremde vor den "Bikini-Fotos" meiner Frau einen runter...
 
@Kobold-HH: beweise zur letzten aussage?
 
@Odi waN: Versuche es doch mal hiermit:
http://www.cio.de/a/us-behoerden-lesen-cloud-daten-mit,2282526
Und das war noch VOR Snowden.
 
@Kobold-HH: Wer in einer Wolke, oder überhaupt irgendwo, unverschlüsselte Daten ablegt, ist selbst schuld.
 
@Kobold-HH:

du hast aber echt auch kein Gemeinschaftsdenken.
 
@Kruemelmonster: Vielleicht will ich nur die Allgemeinheit vor meiner Frau schützen? ;-)
 
Cool, MP3 und FLAC sind ausgenommen. Habe aber sowieso auf dem NAS nur lesend Zugriff auf das Archiv. Uploads nur über das Webinterface. Habe dazu einen Order Uploads angelegt und schiebe das dann per Browser mit Adminrechten in die entsprechenden Ordner. Dann wird nichts manipuliert oder auch unabsichtlich geändert (mal ausversehen Dateien verschoben etc).
 
Jetzt bräuchte eigentlich nur einer ein Tool basteln, das an die bestehenden Dateiendungen noch nen Buchstaben ranhängt und über Registry-Lookups wieder mit den richtigen Programmen verknüpft und schon läuft Locky ins Leere. ^^
 
Letztlich zeigt dieser Trojaner uns normalen Nutzern wie verwundbar unser auf Computer gestützter Lebensstil ist.
Zukünftige Errungenschaften wie the Internet of the Things, autonome Fahrzeuge u.ä. können uns noch das fürchten lernen - mal schaun.

Der Verschlüsselungstrojaner "Locky" hat jetzt den Ausschlag gegeben bei uns die Windows-PC's im Laden (Kasse, Warenwirtschaft, Kundenmails ..... ) auf Qubes umzustellen.
Als Neueinsteiger in das Linux-Thema war es erst mal gewöhnungsbedürftig, letztendlich ist die Oberfläche aber genauso bedienerfreundlich wie die gewohnten - und für die normalen Arbeiten nutze ich schon lange Open Source, die läuft auch unter Fedora.
Qubes stellt mir Virtuelle Maschinen zur Verfügung, die zugehörige Firewall kann ich ohne Netzwerk know-how anpassen.
Damit ist der Standardbrowser und der Mailaccount von den sensiblen Daten getrennt und zwei große Angriffsfenster für Maleware unter Kontrolle.

Ich kann zwar nicht verhindern dass wieder ein Mitarbeiter auf einen Anhang klickt .... aber es geht nur eine VM verloren und das war's. Die ist im handumdrehen wieder rekonstruiert.

Mit der Systemarchitektur von Qubes und keinen "Altlasten" im Quellcode liegt Joanna Rutkowska und ihr Team zwei Nasenlängen vorne. Das reicht mir allemal.

Die nächste Angriffswelle kommt bestimmt .....
Kommentar abgeben Netiquette beachten!