Schutz vor Ransomware – Ein Leitfaden, Teil 4 Locky und Konsorten: Was unterscheidet die Varianten?

24. März 2016

Im vierten Teil dieser Beitragsreihe werden einige der wichtigsten Varianten von Ransomware – wie etwa Locky – aufgeführt und gezeigt, welche Dateitypen sie betreffen inklusive des genutzten Verschlüsselungsalgorithmus. Dabei wird auch verdeutlicht, auf welchem Weg sich die betreffende Ransomware in das jeweilige System einschleicht, ob es bereits ein Entschlüsselungs-Tool gibt und nicht zuletzt, ob die Dateien auch tatsächlich entschlüsselt werden, wenn man das geforderte Lösegeld gezahlt hat.

Ransomware-Varianten

Wer ist von welchen Ransomware-Varianten betroffen und was kann er dagegen tun – um diese Fragestellung dreht sich der vierte Teil der Beitragsreihe. Dabei werden einige typische Ransomware-Varianten und die dazugehörigen Eigenschaften aufgelistet. Die Liste entspricht dem Stand vom Dezember 2015, ein Update ist in Arbeit.

CryptoLocker – erstmals im September 2013 veröffentlicht, betrifft alle Windows-Versionen inklusive Windows XP, Windows Vista, Windows 7 und Windows 8.13.
• Betroffene Dateitypen sind: *.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, *.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c.14
• Verschlüsselungsalgorithmus: AES zur Verschlüsselung der Dateien, RSA für den AES-Schlüssel.
• Entschlüsselungs-Tool verfügbar? Ja ((16))
• Infektionsweg: Anhang in einer Phishing-Nachricht.
• Werden die Dateien bei Bezahlung entschlüsselt? Ja, allerdings kann das 3 bis 4 Stunden dauern; es wurde allerdings berichtet, dass während des Entschlüsselungsprozesses Fehler auftreten, verbunden mit der Meldung, dass der Entschlüsselungsprozess nicht weiter fortgeführt werden könne. Die Dateien werden aber trotzdem entschlüsselt.

CryptoWall – wurde im April 2014 veröffentlicht und richtet sich ebenfalls gegen sämtliche Windows-Versionen inklusive von Windows XP, Windows Vista, Windows 7 und Windows 8.19.
• Betroffene Dateitypen sind: .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt20
• Verschlüsselungsalgorithmus: RSA für die Dateiverschlüsselung
• Entschlüsselungstool verfügbar? Bis jetzt noch nicht.
• Infektionsweg: typischerweise über E-Mails mit einem Malware-verseuchten Anhang, über den der Virus weiter verbreitet wird.
• Werden die Dateien nach der Zahlung entschlüsselt? Das ja, aber der Prozess nimmt einige Zeit in Anspruch.

OphionLocker – erstmals im Dezember 2014 aufgetreten.
• Infektionsweg: man nimmt an, dass sich der Virus über Online-Werbekampagnen verbreitet. Klickt der Nutzer auf einen bestimmten Bereich der betroffenen Webseite, erlangt er Angreifer die Kontrolle über den jeweiligen Rechner.
• Wie wird die Entdeckung verhindert: benutzt das Tor-Netzwerk für die Kommunikation zwischen dem betroffenen Rechner und den Command-and-Control-Servern.
• Betroffene Dateien sind: *.3fr, *.accdb, *.arw, *.bay, *.cdr, *. cer, *.cr2, *.crt, *.crw, *.dbf, *.dcr, *.der, *.dng, *.doc, *.docm, *.docx, *.dwg, *.dxf, *.dxg, *.eps, *.erf, *.indd, *.jpe, *.jpg, *.kdc, *.mdb, *.mdf, *.mef, *.mp3, *.mp4, *.mrw, *.nef, *.nrw, *.odb, *.odm, *.odp, *.ods, *.odt, *.orf, *.p12, *.p7b, *.p7c, *.pdd, *.pef, *.pem, *.pfx, *.ppt, *.pptm, *.pptx, *.psd, *.pst, *.ptx, *.r3d, *.raf, *.raw, *.rtf, *.rwl, *.srf, *.srw, *.txt, *.wb2, *.wpd, *.wps, *.xlk, *.xls, *.xlsb, *.xlsm, *.xlsx
• Entschlüsselungstool verfügbar? Derzeit nicht
• Verschlüsselungsalgorithmus: ECC
• Ransom/Lösegeld: Von Land zu Land verschieden. Auf den meisten Seiten werden 1 BTC verlangt.
• Werden Dateien gelöscht? Löscht Dateien und Shadow-Volume-Kopien nicht vollständig.

CTB Locker (Curve-Tor-Bitcoin Locker): Auch unter den Namen Critroni oder Onion bekannt. Erstmals im Juli 2014 veröffentlicht, richtet sich gegen sämtliche Windows-Versionen inklusive von Windows XP, Windows Vista, Windows 7 und Windows 8.25. Auch bei Check Point gibt es dazu Infos.
• Verschlüsselungsalgorithmus: ECC
• Entschlüsselungstool verfügbar? Derzeit nicht
• Ransom/Lösegeldsumme: 3 BTC (entspricht zirka 630 Dollar)
• Infektionsweg: Verbreitet sich über E-Mails. Öffnet der Benutzer den Dateianhang aktivieren sich die in der Malware enthaltenen Verschlüsselungsroutinen und verschlüsseln sämtliche Dateien, die sich auf dem betroffenen Rechner befinden.

VaultCrypt – Ist ungefähr im Februar 2015 erstmals aufgetreten. Die Ransomware benutzt Windows Batch-Dateien und die Open Source GnuPG Privacy Software für eine äußerst effektiv arbeitende Verschlüsselungstechnik.
• Betroffene Dateitypen sind: .cd, .mdb, .1cd, .dbf, .sqlite, .jpg, .zip, .7z, .psd, .dwg, .cdr, .pdf, .rtf, .xls, .doc
• Entschlüsselungstool verfügbar? Derzeit nicht
• Verschlüsselungsalgorithmus: RSA-1024-Schlüsselpaar aus öffentlichem und privatem Schlüssel, um die Dateien zu verschlüsseln. Auch bei Bleeping Computer gibt es dazu noch Infos.

TeslaCrypt – richtet sich gegen Windows-Versionen inklusive Windows XP, Windows Vista, Windows 7 und Windows 8. TeslaCrypt wurde erstmals im Februar 2015 veröffentlicht.
• Von TeslaCrypt betroffene Dateitypen: .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .sc2save, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mcgame, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .001, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .DayZProfile, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, .unity3d, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbfv, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt
• Entschlüsselungstool vorhanden? Ja, weitere Informationen finden Sie beispielsweise unter Cisco’s Talos Teslacrypt tool.
• Verschlüsselungsalgorithmus: AES

Alphacrypt: Sieht aus wie TeslaCrypt, verhält sich wie CryptoWall.30
• Betroffene Dateitypen sind: .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt
• Verschlüsselungsalgorithmus: AES
• Entschlüsselungstool vorhanden? Bisher nicht

LowLevel04

LowLevel04 – erstmals im Oktober 2015 beobachtet
• Infektionsweg: Brute-Force-Attacken auf Rechner, bei denen Remote Desktop oder Terminal Services installiert oder die nur über schwache Passwörter gesichert sind.
• Betroffene Dateitypen : .3fr, .dbf, .dcr, .dwg, .doc, .der, .erf, .eps, .jpg, .mp3, .mp4, .mef, .mrw, .mdf, .bay, .bck, .bkp, .bcp, .cdr, .mid, .nef, .nrw, .dat, .dxg, .dng, .pptx, .pptm, .jpe, .kdc, .mdb, .jpeg, .indd, .docx, .docm, .pfx, .raw, .rwl, .opd, .odm, .odc, .orf, .odb, .pdd, .pdf, .pst, .ppt, .rtf, .rw2, .odt, .ods, .pem, .sql, .xls, .xml, .xlk, .wpd, .wav, .wb2, .wps, .x3f, .zip, .xlsb, .arw, .bmp, .cer, .crw, .cr2, .crt, .dxf, .r3d, .srf, .sr2, .srw, .p12, .p7b, .p7c, .ptx, .pef, .png, .psd, .php, .rar, .raf, .xlsx, .xlsm, .exe, .bad, .lpa, .sys, .dll, .msi, .ie5, .ie6, .ie7, .ie8, .ie9, .ini, .inf, .lnk, .scr, .com, .ico, .desklink, .mapimail, .search-ms, .automaticDestinations-ms, .bkup, .database, .backup, .zip
• Verschlüsselungsalgorithmus: AES32 und RSA-204833
• Ransom/Lösegeldforderung: Der geforderte Betrag ist mit 4 Bitcoins etwa doppelt so hoch wie der „normalerweise“ geforderte von etwa 500 Dollar.
• Entschlüsselungstool verfügbar? Derzeit noch nicht
• Dateien wiederherstellen: Der einzige Weg die Dateien wiederherzustellen ist von einem Backup oder indem man versucht auf Shadow-Volume-Kopien zuzugreifen. Ansonsten bleibt nur der Weg, das geforderte Lösegeld zu bezahlen. Man vermutet, dass die Ransomware zu einer Familie gehört, die die E-Mails routinemäßig verändert, die üblicherweise mit Ransom-Notes assoziiert werden.

Chimera – Chimera wurde erstmals im November des letzten Jahres beobachtet. Auch sie verschlüsselt Dateien und fordert eine entsprechende Summe Lösegeldes für den Schlüssel, der die Dateien wieder zugänglich macht. Allerdings kommt hier noch ein weiterer Aspekt hinzu: Zahlt man den geforderten Betrag nicht, wird damit gedroht, die Dateien im Internet zu veröffentlichen. Allerdings gibt es laut dem Anti Botnet Advisory Center zumindest bisher keine Anzeichen, dass derartige Informationen tatsächlich veröffentlicht worden sind.
• Betroffene Dateitypen: .jpg, .jpeg, .vmx, .txt, .xml, .xsl, .wps, .cmf, .vbs, .accdb, .ini, .cdr, .svg, .conf, .cfg, .config, .wb2, .msg, .azw, .azw1, .azw3, .azw4, .lit, .apnx, .mobi, .p12, .p7b, .p7c, .pfx, .pem, .cer, .key, .der, .mdb, .htm, /, .class, .java, .cs, .asp, .aspx, .cgi, .h, .cpp, .php, .jsp, .bak, .dat, .pst, .eml, .xps, .sqllite, .sql, .js, .jar, .py, .wpd, .crt, .csv, .prf, .cnf, .indd, .number, .pages, .lnk, .po, .dcu, .pas, .dfm, .directory, .pbk, .yml, .dtd, .rll, .lib, .cert, .p12, .cat, .inf, .mui, .props, .idl, .result, .localstorage, .ost, .default, .json, .db, .sqlite, .log, .bat, .ico, .dll, .exe, .x3f, .srw, .pef, .raf, .orf, .nrw, .nef, .mrw, .mef, .kdc, .dcr, .crw, .eip, .fff, .iiq, .k25, .crwl, .bay, .sr2, .ari, .srf, .arw, .cr2, .raw, .rwl, .rw2, .r3d, .3fr, .ai, .eps, .pdd, .dng, .dxf, .dwg, .psd, .ps, .png, .jpe, .bmp, .gif, .tiff, .gfx, .jge, .tga, .jfif, .emf, .3dm, .3ds, .max, .obj, .a2c, .dds, .pspimage, .yuv, .zip, .rar, .gzip, .vmdk, .mdf, .iso, .bin, .cue, .dbf, .erf, .dmg, .toast, .vcd, .ccd, .disc, .nrg, .nri, .cdi, .ptx, .ape, .aif, .wav, .ram, .ra, .m3u, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpv2, .rpf, .vlc, .m4a, .aac, .aa, .aa3, .amr, .mkv, .dvd, .mts, .qt, .vob, .3ga, .ts, .m4v, .rm, .srt, .aepx, .camproj, .dash, .txt, .doc, .docx, .docm, .odt, .ods, .odp, .odf, .odc, .odm, .odb, .rtf, .xlsm, .xlsb, .xlk, .xls, .xlsx, .pps, .ppt, .pptm, .pptx, .pub, .epub, .pdf
•  Entschlüsselungstool verfügbar? Bis jetzt nicht
• Ransom/Lösegeld: 4 Bitcoins (umgerechnet etwa 865 Dollar)
• Vorgehensweise: Chimera bedient sich Bitmessage, einer Peer-to-Peer Messaging-App um zwischen dem Rechner des Opfers und dem Command-und-Control-Server des Malware-Entwicklers zu kommunizieren. So entsteht ein Entschlüsselungsdienst, der leicht zu portieren und dabei sehr sicher ist. Und es würde immens schwierig bis unmöglich sein, aller in diesem Peer-to-Peer-Netzwerk verbundenen Rechner Herr zu werden. Umgekehrt ist aber jeder einzelne von ihnen in der Lage die entsprechenden Schlüssel zu verteilen. Weitere Infos finden sich erneut bei Bleeping Computer.

Torrentlocker – wurde gegen Ende August 2014 veröffentlicht und richtet sich gegen sämtliche Windows-Versionen, darunter Windows XP, Windows Vista, Windows 7 und Windows 8.40
• Betroffene Dateitypen: *.wb2, *.psd, *.p7c, *.p7b, *.p12, *.pfx, *.pem, *.crt, *.cer, *.der, *.pl, *.py, *.lua, *.css, *.js, *.asp, *.php, *.incpas, *.asm, *.hpp, *.h, *.cpp, *.c, *.7z, *.zip, *.rar, *.drf, *.blend, *.apj, *.3ds, *.dwg, *.sda, *.ps, *.pat, *.fxg, *.fhd, *.fh, *.dxb, *.drw, *.design, *.ddrw, *.ddoc, *.dcs, *.csl, *.csh, *.cpi, *.cgm, *.cdx, *.cdrw, *.cdr6, *.cdr5, *.cdr4, *.cdr3, *.cdr, *.awg, *.ait, *.ai, *.agd1, *.ycbcra, *.x3f, *.stx, *.st8, *.st7, *.st6, *.st5, *.st4, *.srw, *.srf, *.sr2, *.sd1, *.sd0, *.rwz, *.rwl, *.rw2, *.raw, *.raf, *.ra2, *.ptx, *.pef, *.pcd, *.orf, *.nwb, *.nrw, *.nop, *.nef, *.ndd, *.mrw, *.mos, *.mfw, *.mef, *.mdc, *.kdc, *.kc2, *.iiq, *.gry, *.grey, *.gray, *.fpx, *.fff, *.exf, *.erf, *.dng, *.dcr, *.dc2, *.crw, *.craw, *.cr2, *.cmt, *.cib, *.ce2, *.ce1, *.arw, *.3pr, *.3fr, *.mpg, *.jpeg, *.jpg, *.mdb, *.sqlitedb, *.sqlite3, *.sqlite, *.sql, *.sdf, *.sav, *.sas7bdat, *.s3db, *.rdb, *.psafe3, *.nyf, *.nx2, *.nx1, *.nsh, *.nsg, *.nsf, *.nsd, *.ns4, *.ns3, *.ns2, *.myd, *.kpdx, *.kdbx, *.idx, *.ibz, *.ibd, *.fdb, *.erbsql, *.db3, *.dbf, *.db-journal, *.db, *.cls, *.bdb, *.al, *.adb, *.backupdb, *.bik, *.backup, *.bak, *.bkp, *.moneywell, *.mmw, *.ibank, *.hbk, *.ffd, *.dgc, *.ddd, *.dac, *.cfp, *.cdf, *.bpw, *.bgt, *.acr, *.ac2, *.ab4, *.djvu, *.pdf, *.sxm, *.odf, *.std, *.sxd, *.otg, *.sti, *.sxi, *.otp, *.odg, *.odp, *.stc, *.sxc, *.ots, *.ods, *.sxg, *.stw, *.sxw, *.odm, *.oth, *.ott, *.odt, *.odb, *.csv, *.rtf, *.accdr, *.accdt, *.accde, *.accdb, *.sldm, *.sldx, *.ppsm, *.ppsx, *.ppam, *.potm, *.potx, *.pptm, *.pptx, *.pps, *.pot, *.ppt, *.xlw, *.xll, *.xlam, *.xla, *.xlsb, *.xltm, *.xltx, *.xlsm, *.xlsx, *.xlm, *.xlt, *.xls, *.xml, *.dotm, *.dotx, *.docm, *.docx, *.dot, *.doc, *.txt
• Wie verläuft der Infektionsweg? Über E-Mail. Beobachtet wurden insbesondere E-Mail-Nachrichten, die vorgeblich Lieferungen ankündigen, aber auch E-Mails, die sich auf ein angebliches Verkehrsdelikt oder eine Geschwindigkeitsübertretung beziehen sowie alle Arten angeblicher Unternehmens- oder Behördenkommunikation.
• Ransom/Lösegeld: beginnt bei umgerechnet etwa 550 Dollar – zahlbar in Bitcoins, die verschlüsselten Dateien werden in einem Zeitraum von etwa drei Tagen wiederhergestellt.
• Verschlüsselungsalgorithmus:  AES um die Dateien des Opfers zu verschlüsseln und asymmetrische Cipher-RSA für den AES-Schlüssel.
• Entschlüsselungstools verfügbar? Bisher nicht.

Und dann kam Locky

Und dann ist da noch der Verschlüsselungstrojaner Locky“, der besonders in Deutschland ziemlich erfolgreich ist. Spiegel Online berichtet von 17.000 infizierten deutschen Rechnern pro Tag und zahlreiche Medien beschäftigen sich mit dem mittlerweile auch deutsch sprechenden Erpressungstrojaner. Die US-amerikanische Ausgabe des SC Magazine veröffentlichte Zahlen, dass per 16. Februar 2016 rund 446.000 Sessions registriert worden sind, wovon etwa 54 % sich gegen die USA richteten. Locky verschlüsselt dabei sowohl Daten auf lokalen Geräten wie auf nicht gemappten Netzwerkfreigaben und nutzt dabei den AES-Verschlüsselungsalgorithmus. Für eine Entschlüsselung werden 0,5 Bitcoin verlangt. Die generelle Warnung muss also sein: Sobald Sie eine E-Mail erhalten, die einen Microsoft-Anhang enthält, ihn keinesfalls zu öffnen.

Microsoft MVP Lawrence Abrams (der Gründer von Bleeping Computer) schreibt: „Das entsprechende Word-Dokument tarnt sich als Rechnung. Der Text lautet in etwa: „Sollten Sie den Text nicht einwandfrei zu lesen sein, aktivieren Sie bitte die Makros“. Sobald das Opfer genau das tut, wird eine ausführbare Datei vom Remote-Server heruntergeladen und ausgeführt. Dazu wird die über ein Makro heruntergeladene Datei im %Temp%-Ordner gespeichert und wie beschrieben ausgeführt. Und das ist dann auch die Locky-Ransomware, die sofort damit beginnt, die Dateien auf dem Rechner des Opfers zu verschlüsseln.“

Ähnlich wie es CryptoWall tut verändert auch Locky die Namen der verschlüsselten Dateien. Für den Betroffenen wird es dadurch noch schwieriger zu ermitteln, welche Dateien wiederhergestellt werden müssen.

Im Moment sind diese Dateitypen betroffen: .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

Was tun? Zur Prävention greifen die altbewährten Ratschläge nicht auf Links und Anhänge zu klicken, die über E-Mails von unbekannten Absendern in der Inbox landen. Und natürlich sollte man vor allem von den Dateien, die vertrauliche Daten enthalten, regelmäßig Backups anlegen.

Wer das Produkt DatAlert im Einsatz hat, der sollte eine entsprechende Regel anlegen, die massenhaft vorkommende Namensänderungen bei Dateien überwacht. Diese Dateien werden unter dem Namen .locky oder bei einzelnen Dateien unter LIKE (in _Locky_recover_instructions) gespeichert sind. Weitere Informationen finden sich in der Connect-Community.

David Lin

ist Sicherheitsexperte bei Varonis.

Hier geht es zu Varonis

Lesen Sie auch