Ausprobiert: Wo Locky nach Nutzerdaten sucht und wo sie sicher sind

Immer neue Wellen der Ransomware Locky gehen durchs Netz. Und die Erpresser hinter der Malware reagieren auf die gestiegene Aufmerksamkeit der Nutzer, indem sie mit größer werdenden Mengen an Spam versuchen, zusätzliche Nutzerkreise zu erreichen und die Zahl der Opfer so weiter zu steigern.

Unterdessen haben unsere Kollegen von SemperVideo weitere Experimente mit der Ransomware angestellt. Nachdem zuletzt ja bereits demonstriert werden konnte, wie der Krypto-Trojaner grundsätzlich arbeitet, stellte sich bei vielen Nutzern nun die Frage, wo Kopien wichtiger Dateien vielleicht sicher davor sind, verschlüsselt zu werden. Es zeigt sich, dass die Erpresser nicht gerade viele Stellen unangetastet lassen.

Klar ist natürlich, dass der lokale Nutzerordner zuerst im Visier von Locky ist. Denn hier dürften die meisten privaten Daten zu finden sein, mit denen die Anwender zur Zahlung des gewünschten Betrages erpresst werden können. Allerdings sollte niemand auf die Idee kommen, die eigenen Daten wären sicher, wenn sie einfach an anderen Stellen ablegt werden - mit einer Ausnahme.

Grundsätzlich sucht die Ransomware nicht nur auf dem lokalen Speicher nach Dateien, die lohnenswerte Ziele darstellen können. Grundsätzlich wird nahezu alles abgegrast, was diekt ins Datei-System eingebunden ist. Dabei ist es unerheblich, ob es sich um externe Laufwerke, Cloud-Speicherdienste oder geöffnete TrueCrypt-Container handelt. Dies ist besonders auch dann wichtig, wenn man sich mit dem Anlegen von Backups schützen will. Diese sind nur dann vor dem Zugriff der Ransomware sicher, wenn sie auf einem Datenträger gespeichert sind, der nicht mit dem lokalen System verbunden ist.

Es gibt aber eine Stelle, wo Locky wohl nicht nach Dateien des Nutzers sucht: Das Windows-Verzeichnis. Dieses wird aus naheliegenden Gründen in Ruhe gelassen. Immerhin soll nicht riskiert werden, dass der Rechner nicht mehr hochfährt, denn dann wäre es schwierig, dem Anwender klarzumachen, wohin ein Lösegeld zu überweisen ist.

Locky in Aktion: So infiziert die Ransomware ein Windows-System

Immer neue Locky-Wellen: Wie sie aussehen, was zu tun ist

Verwandt

Dieses Video empfehlen

Kommentieren28

Tags:

Jetzt einen Kommentar schreiben

[o1] am ++1 --17

ich hätte noch nen Tip: Einfach nicht auf entsprechenden Seiten rumtreiben und gecrackte Software nutzen.

[re:1] am ++10 --1

@topsi.kret: hier gehts nicht um gecrackte software sondern um Ransomware die sich überwiegend per Mail verbreitet. Da ist es egal ob legale software oder gecrackte. Wer seine Brain.exe bei Anhängen von Mails oder allgemein bei Mails unbekannter Herkunft nicht einsetzt hat verloren.

[re:1] am ++1 --7

@MarcelP: Und die verbreitet sich per Mail, weil irgendjamend einen auf diese Weise verseuchten Rechner hat.

[re:1] am ++5 --1

@topsi.kret: das ist aber was ganz anderes. Verseucht kann der Rechner auch sein wenn man einfach mit Sicherheitsupdates schludert. Was ich mit sagen will ist, das nicht immer zwingend gecrackte Software oder irgendwelche Seiten schuld sein müssen, sondern einfach der Anwender selbst für sorgt.

[re:1] am ++1 --8

@MarcelP: Sorry, aber diese Ransomware wächst nicht einfach auf der Festplatte heran. Und dass per Update Ransomsoftware verteilt wird, wäre mir neu. Und irgendwie muss das ja erstmal auf die Platte kommen, bevor es verteilt werden kann.

[re:2] am ++2 --

@topsi.kret: wieso per Updates verteilt? Du missverstehst mich glaube ich. Es soll ja durchaus im rahmen des möglichen sein das es Leute gibt die Windows Updates deaktivieren oder diese manuell installieren (was ja vor Windows 10 noch möglich war). Letzteres vielleicht sogar nur einmal im Monat. In der Zeit könnten diese nicht geschlossenen Lücken bei betroffenen Personen ausgenutzt werden.
Das ist wie wenn einer eine Kopie deines Wohnungsschlüssel hätte und dein Vermieter bietet dir an kostenlos das Schloss auszutauschen und lässt das erst zum ende des Monats machen.

[re:3] am ++--

@topsi.kret: Die wenigsten sind private Rechner. Die Mails werden häufig von Servern verschickt, auf denen vergessene Webseiten (CMS) liegen und die Datei selbst wird ebenfalls von solchen Domains geladen. Ab und an kann auch alles aktuell sein und trotzdem werden Seiten gehackt. So wie es im November/Dezember bei Joomla der Fall war. Davor Wordpress. Private Rechner sind viel zu unzuverlässig um zu Spammen...

[re:4] am ++--

@Siniox: Jop, bei uns im Unternehmen wurde das System in 3 Monaten nun 3 mal durch Viren lahmgelegt... die letzten 2 male waren letzte Woche und heute. Behoben immer nach einigen Stunden... alles löschen und Backups drauf.
Aber rein kommen die, denn Geld für besseren Schutz wird nicht ausgegeben!

Wie viele davon von uns wieder in Umlauf gebracht wurden... das kann man nicht mal schätzen, da keinerlei Anhaltspunkte vorliegen... leider.

[re:2] am ++--13

@topsi.kret: Ich hätte ebenfalls einen Tipp: die Windows platt machen, Unix drauf.

[re:1] am ++5 --

@nayooti: Wenn Du uns nun noch sagst, wie wir Arcgis, AutoCad, Maya und Adobe CS (und nicht irgendwelche Alternativprogramme) etc. unter Unix zum Laufen kriegen, ohne dass wir die Wine Krücke bzw. Virtual Box verwenden müssen, dann bist Du der Kaiser.

[re:2] am ++1 --1

@nayooti: Stimmt, wer nicht das geistige Potential hat, sein Windows entsprechend abzusichern, kloppt sich lieber ein Unix/Linux rauf und vertraut der gefühlten Sicherheit.

[re:3] am ++--1

@topsi.kret: Die meisten Erstinfektionen geschehen über soziale Netzwerke mithilfe von infizierten Werbebannern und social Engineering. Warez und Pornos stehen auf Rang 2 und 3 (glaub Warez auf 2), aber hier helfen Hascodes, Scene groups und Kommunikation mit anderen Warez-Nutzern um sich relativ gut zu sichern.

[o2] am ++2 --3

Ja, wie schützt man sich denn nun? Wären meine Daten z.B. auf Laufwerk D: E: usw. auch betroffen? Kann ich diese Laufwerke vielleicht irgendwie schützen oder das LW mit Passwort versehen, das die nicht angreifbar sind? Windows ist mir eigentlich relativ wurst. Den kann ich jederzeit formatieren und wieder neu installieren. Und in Favoriten speichere ich eh nichts oder in Benutzer auch nicht! Hat jemand ne Idee?

[re:1] am ++11 --

@emrah: man öffnet einfach keine unbekannten Mailanhänge. Und man macht Backups, die nach Fertigstellung nicht am PC hängen.

[re:1] am ++--

@der_ingo: Wir bekommen im Unternehmen TÄGLICH die Info Mail, keine unbekannten Mails bzw. deren Anhänge zu öffnen und grundsätzlich keine Office Dokumente, ZIP/RAR Dateien usw. Trotzdem haben wir innerhalb weniger Tage... letzte Woche und heute, 2 Virenbefälle gehabt, die den gesamten Betrieb zu 100% für Stunden haben ausfallen lassen (und das im öffentlichen Dienst!!!!).
Brain.exe ist die am seltensten genutzte Anwendung in Unternehmen! Und wenn man dann noch an der IT Infrastruktur generell und Sicherheit im speziellen spart... wundert mich das in Deutschland das nicht täglich im öffentlichen Dienst passiert.

[re:1] am ++--

@Scaver: es ging um den Eigenschutz. Dass das in einem großen Netz alleine nicht hilft, ist traurig. Aber vermutlich wohl kaum zu vermeiden.

[re:2] am ++--1

@emrah: z.B. https://blog.kaspersky.de/ransomware-10-tips/6502/

[re:1] am ++1 --

@wertzuiop123: Danke

[re:3] am ++1 --

@emrah: Ja, es sind alle Laufwerke betroffen.
Wer also ein Backup auf Wechselplatte macht und die Festplatte am USB mit zugewiesenem Laufwerksbuchstaben dran lässt, hätte sich die Mühe sparen können. Das ist ja das Fatale in den Unternehmen, daß ein infizierter Rechner im Netz ausreicht, um alle für seinen Zugriff freigegebene Dateien auf dem Server zu verschlüsseln.
In großen Unternehmen mit vielen Kontakten findet sich halt immer jemand, der gerade auf eine Mail mit einem Angebot oder einer Rechnung aus dem Ausland wartet. Da kann der private Computerfreak noch so von Brain.exe schwafeln...
Wenn Du ein Laufwerk mit Passwort schützt, wirst Du dieses irgendwann eingeben müssen, um an die Daten auf diesem Laufwerk zugreifen zu können. Damit kann jedes unter Deinem Account aktive Programm ebenfalls darauf zugreifen. Schutz bieten da höchstens Applications-Locker, bei Denen Du die zugreifende Software definieren kannst.
Und die Virenscanner hängen ein paar Stunden in der Aktualität hinterher.

Bearbeitet am 29.02.16 um 14:46 Uhr.

[re:4] am ++1 --

@emrah: Ich könnte mir folgendes vorstellen:
- Eine leere Partition mit z.B. diskcryptor komplett als versteckt verschlüsseln (nicht mit
Kontainer!)
- diese Partition nur bei bedarf mounten und ansonsten unmounted lassen
- da für die Ransomware die Partition als leer angezeigt wird dürfte eigentlich keine dort abgelegte Datei betroffen werden. (solange die Partition nicht wie erwähnt "gemounted" ist!)

Edit: diese Ransomwares waren (bisher zumindest, soweit ich das mitbekommen habe) nicht darauf, dass jemand eine USB-Platte oder sowas an den Rechner hängt, sobald der Virus ausgeführt ist geht die Verschlüsselung los, insofern sollte diese Methode evtl. funktionieren, auch ohne ständig die externe Festplatte abklemmen zu müssen.

Bearbeitet am 29.02.16 um 17:26 Uhr.

[re:1] am ++--

@tapo: Danke

[o3] am ++--

Also bei mur läuft privat eigentlich das gesamte E-Mailgeschäfft über Handy, bis auf wenige Ausnahmen.
Thunderbird dient nur als Archiv und wird nur einmal im Monat angeworfen. LibreOffice reicht locker für die private Post. Daten liegen auf einem Netzlaufwerk das nur bei Bedarf mit Passwort eingebunden wird...

[re:1] am ++1 --

@itChOW: Mit gesperrten Android Smartphones habe ich des öfteren zutun und da sind ja teils auch relativ wichtige Daten drauf.

[re:1] am ++--

@PakebuschR: Diese Daten sichere ich auch nach Aufkommen über das WLan auf der Netzplatte...

Laufwerksmappings werden nach Gebrauch getrennt, benutzte Geräte vor und nach dem Homebanking neu gestartet...

Den Rest fangen die Virenscanner und hoffentlich mein Verstand.

[o4] am ++--

Der einzige Weg wie Backups nicht infiziert werden ist, das man shares auf dem PC freigibt und dann ein NAS auf diese Shares zugreift und das Backup startet. So kann der ggf verseuchte PC das NAS nicht ungewollt verschlüsseln.

Das macht natürlich nur Sinn wenn man X Versionen der Backups vorhält und diese nicht rollieren.

Ansonsten überschreibt das neuste infizierte Backup das älteste Backup welches noch unverschlüsselte Dateien enthält.

[o5] am ++3 --

Wisst ihr, was mich bei dem ganzen Locky-Kram viel mehr interessiert? Welche Staatsorganisation welches Landes sich mit den Machern und Verbreitern dieser verschlüsselnden Malware beschäftigt. Ich meine, wir haben eine Vorratsdatenspeicherung, eine NSA und einen BND mit genügend KnowHow... Wann werden die Macher von Locky denn nun verhaftet? Kann sich dank des ganzen aufgeweichten Datenschutzes doch nur um Tage handeln, bis man die dingfestgemacht hat. Und wenn Locky kein Terror ist, dann weiß ich es echt nicht.

[o6] am ++1 --

Fürs Privatsystem reichen mir 3 Vollbackups im Abstand von immer etwa 3 Tagen. Angefertigt mit Clonezilla als Livesystem vom USBstick gestartet. Das wird ja während des Backup komprimiert/verschlüsselt auf einer physisch angeschlossenen Festplatte gespeichert, die erst nach Start von CloneZilla angeschlossenwird und danach wieder abgeklemmt. Somit habe ich hoffentlich einen Vorsprung vor Locky & co.

[re:1] am ++1 --

@DrkNgl: Ich frage mich ob ein Livesystem auf einem USB-Stick wirklich sicher genug vor Schreibzugriff durch Schadsoftware ist, also genauso sicher wie von CD.

Mal angenommen mein System ist von Locky befallen. Ich fahre den Rechner runter, stecke den USB-Stick mit Backupsoftware ein und schließe meine externe Festplatte mit meinen System-Backup's an. Ich starte den Rechner vom USB-Stick um ein Backup von der externen Festplatte wiederherzustellen. Hätte das befallene System, obwohl noch nicht hochgefahren, nicht doch schon Zugriff auf den USB-Stick und die externe Platte ?