Zur Zeit grassiert einer der gefährlichsten Viren seit I LOVE YOU. Wer LOCKY aus Versehen startet, der hat ein ernstes Problem. Der Computer-Schädling verschlüsselt alle Office Dateien und Bilder, die er auf der Festplatte finden kann und fordert dann ein Lösegeld. Wer die geforderte Summe von aktuell knapp unter 400€ nicht bezahlt, der kann alle persönlichen Dateien abhaken. Und LOCKY ist bei seiner Tätigkeit effektiv. Das Programm arbeitet rund 150 Dateiendungen ab: doc(x), xls(x), jpg, gif, txt und viele weitere. Knacken: unmöglich.
Damit LOCKY sein Gift versprühen kann, muss das Programm auf Ihrem Rechner ausgeführt werden. Das passiert in der Regel durch Anhänge in einer Email, die Sie anklicken sollen. Eine uralte Methode also, die aber immer noch effektiv funktioniert. Wahrscheinlich liegt es daran, dass die Mails immer echter aussehen.
Da werden zum Beispiel vermeintliche Mahnungen versendet, Änderungswünsche von Rechnungsadressen an Buchhaltungen geschickt oder Lieferbestätigungen von Amazon. Bei über acht Millionen Paketen täglich ist die Trefferquote sehr hoch, dass jemand ein Paket erwartet – und die Mail daher als echt ansieht. Eines haben sie alle gemeinsam: es gibt einen Dateianhang, der angeklickt werden soll. Die Entwickler von LOCKY sind aber ziemlich gewieft und man muss ihnen fast schon Respekt zollen. Der Schadcode lädt sich selbst per JavaScript von (unscheinbaren) Webseiten und er nutzt Übertragungswege, mit denen niemand mehr rechnet: Makros in MS-Office-Dokumenten zum Beispiel. Das ist wie die Pest, von der wir auch dachten, sie wäre längst ausgerottet.
Seit gestern (06.März 2016) ist die erste Version eines LOCKY-Ablegers bekannt, der sich auf Apple Geräten verbreitet. Die Analyse ergab, dass die Verschlüsselung erst nach drei Tagen beginnen wird. Wir werden sehen, wieviel Menschen dann weinen, die sich bis dato „auf nem Mac“ zu sicher fühlten. (Nachtrag: es warnt nun auch bild.de)
Mittlerweile formieren sich aber diverse Kräfte, um LOCKY auszubremsen. Die Anti-Viren-Programme erkennen den Schadcode mittlerweile recht gut und die Firma Malwarebytes bietet mit Anti-Ransomware sogar ein Tool an, das die Erpresserprogramme anhand ihres Verhaltens in Echtzeit erkennt. Sobald ein Prozess beginnt, wahllos Dateien zu verschlüsseln, wird das Programm gestoppt, was in einem Test von heise.de zu nur 20 verlorenen Dateien geführt hat.
Und was, wenn es doch passiert? Das FBI sagt: Zahlen statt Qualen! Bezahle, wenn Du Deine Daten wieder haben möchtest. Die deutsche Polizei hingegen rät zu Qualen, nicht zum Zahlen. Sie sagt: Lösegeld nicht zu überweisen. Nur … warum? Wer bezahlt, der hat doch zumindest die Chance, den Schlüssel zum Entsperren zu erlangen. Die Polizei kann, darf und wird sicherlich niemals dazu raten, Verbrechern Geld zu geben und so eine Straftat auch noch zu unterstützen. Daher ist das aus deren Sicht schlichtweg keine Option. Stellen Sie sich nur vor, der Kriminalkommisar ermuntert sie, das Lösegeld zu überweisen und die Gangster entschlüsseln Ihre Daten trotzdem nicht. Dem Schutzmann würden Sie doch gehörig die Meinung geigen.
Tatsächlich ist es aber gar keine soooo schlechte Idee, zu zahlen, wenn wichtige Daten ansonsten weg sind – und man keine andere Wahl – weil kein Backup – hat. Auch Gangster haben nämlich einen Business Plan. Wenn sich rumsprechen würde, dass sie nicht liefern, würde niemand mehr überweisen. Sie würden sich so das eigene Geschäft kaputt machen. Wie bei eBay ist das, wer zu viele negative Bewertungen hat, verkauft nix mehr. Ein Mitarbeiter des finnischen Anti-Viren-Software-Herstellers F-Secure sagte mir letztens auf einer Konferenz, dass die meisten Opfer tatsächlich ein funktionierendes Entschlüsselungs-Programm erhalten. Allerdings sollten wir uns über ein paar Dinge einig sein: es gibt keine Garantie, dass die Erpresser trotz Zahlung die Daten freigeben. Wer einmal zahlt, zahlt vielleicht auch noch einmal – oder noch etwas drauf für die letzten 250 Dateien.
Und: Vorbeugen ist immer noch besser als Heulen. Definitiv nicht bezahlen müssen Sie nämlich nur dann, wenn Sie ein aktuelles Backup haben. Haben Sie eines? Wichtig wäre hier nur, dass das Backup auf einer externen Festplatte liegt, die Sie abgestöpselt haben. Die aktuelle LOCKY Version macht nämlich auch Backups kaputt, wenn die Platte für die Sicherung dauerhaft am System hängt. Ich selbst mache sogar einmal im Jahr ein Backup mit den wichtigsten Daten auf einer externen Festplatte – und gebe diese meinem Bruder zum Aufbewahren. So schlage ich nicht nur LOCKY ein Schnippchen, sondern auch so harmlosen Dingen wie Zimmerbränden, Wasserschäden, Erdbeben und Vulkanausbrüchen.
Bildnachweis: Maksim Kabakou via Fotolia
Interessanterweise wird Mac Usern immer noch erklärt, daß alles prima wäre und ihnen ja nichts passieren könne…
Ja leider, da kann man sich den Mund fusselig reden, das bringt aber nix.
Vielen Dank für die ausführlichen Informationen.
Das LOCKY-Lösegeld muss doch auf ein bestimmtes Konto überwiesen werden, in bar abholen wird es sicherlich niemand irgendwo wie sonst bei Lösegeld. Da stellt sich mir die Frage: Wieso kommt die Polizei über die Kontonummer nicht an die „Täter“ ran? Schweizer Nummernkonto? – soll lt. Wikipedia aber auch rechtlich nicht schützen
Viele Grüße
Ines
Die Bezahlung des Lösegeldes läuft über die digitale Währung bitcoin. Das ist tatsächlich eine Art Nummernkonto, jedoch nicht bei einer Bank, sondern anonym. Und zwar so was von anonym, dass selbst die NSA nicht weiß, wer da wem was überweist. Mehr Infos findest Du in meinem Blogeintrag vom 15.09.2014 http://ich-glaube-es-hackt.de/haste-mal-n-bitcoin/
Vielen Dank für die vielen Tipps und Erklärungen! Mein Sicherheits-Backup läuft gleich! Man ist einfach viel zu faul, regelmäßig ein Backup zu machen und dann ist das Geheule groß. Das war für mich mal wieder der sogenannte Tritt in den Hintern, es jetzt durchzuführen. Zwar hat man die alten Daten irgendwo doppelt und dreifach rumfliegen, aber die neuen sind dann natürlich bei einem Crash weg.
Aber trotzdem ein großes Dankeschön für die tollen Beiträge!
Sehr gerne und Danke für die netten Worte!
Lieber Tobi,
auch von mir ein ganz großes Lob für Deine stets hochinteressanten Beiträge/Vorträge.
Leider bin ich viel zu spät auf Deinen Blog aufmerksam geworden, hätte mir da sicher so manchen Schaden ersparen können. Umso aufmerksamer werde ich Deine Veröffentlichungen weiterverfolgen.
Bitte mach‘ weiter so, Du bist ein ganz Großer !
Viele Grüße
Vielen Dank. Bin gerade etwas rot geworden …