Immer neue Locky-Wellen - Virenscanner nutzlos? - Druckversion +- webBrett (http://olaf-asmus.de) +-- Forum: Computer (/forumdisplay.php?fid=3) +--- Forum: Internet (/forumdisplay.php?fid=6) +--- Thema: Immer neue Locky-Wellen - Virenscanner nutzlos? (/showthread.php?tid=363) |
Immer neue Locky-Wellen - Virenscanner nutzlos? - Olaf - 25.02.2016 16:08 Quelle: winfuture.de Der anfänglich große Erfolg der Ransomware Locky führte nun natürlich dazu, dass die Kriminellen hinter der Malware versuchen, diesen so lange und so weit es geht auszuschlachten. In kurzen Zeitabständen kommen immer neue Varianten in Umlauf. Diese verwenden neue Tarnungen und Verbreitungswege, um nicht so schnell von argwöhnisch gewordenen Nutzern erkannt zu werden. Und natürlich sind rein signaturbasierte Virenscanner relativ machtlos, da ihre Anbieter gar nicht schnell genug mit Updates hinterherkommen.
Die erste Welle von Locky kam in den meisten Fällen über Spams mit angeblichen Rechnungen und Mahnungen auf die Systeme der Nutzer. Grundsätzlich erfolgen Infektionen noch immer über Office-Dokumente, in die die Installations-Routinen in Form von Makros eingebettet sind. In einer neuen Variante tarnt sich Locky beispielsweise als Mitteilung des VoIP-Anbieters Sipgate, laut der ein Fax für den Nutzer eingegangen ist. Dabei werden die echten E-Mails, die das Unternehmen zur Benachrichtigung von Kunden verschickt, schon recht gut nachgeahmt. Die Angreifer haben bei ihrer Malware-Kampagne von den Erfolgen anderer Ransomware-Betreiber gelernt, die erst vor wenigen Tagen schnell an höhere Summen gekommen sind, nachdem es ihnen gelungen war, mehrere Krankenhäuser mit Ransomware lahmzulegen. Einige der aktuellen Locky-Fassungen sind daher eher darauf ausgelegt, dass Nutzer in kleineren Unternehmen von ihnen überrumpelt werden. Hier gibt es immerhin recht gute Chancen, dass die Inhaber schnell einmal die geforderte Summe zahlen, um die Arbeitsfähigkeit ihrer Firma schnellstmöglich wiederherzustellen. Was ist zu tun? Unsere technikaffine Leserschaft wird wohl kaum selbst betroffen sein, da sie kaum E-Mail-Anhänge aus unsicherer Quelle einfach so öffnet und oft auch über halbwegs aktuellen Backups verfügt. Doch es kann schnell vorkommen, dass man von unerfahreneren Bekannten oder Verwandten hinzugezogen wird, wenn Locky deren System befallen hat. Polizei und Behörden wie das BSI empfehlen, Strafanzeige zu erstatten und keinesfalls auf die Forderungen der Erpresser einzugehen. Das kann im Falle von Locky durchaus funktionieren, da die Täter zumindest in den ersten Versionen keine besonders gute Verschlüsselung verwendet haben und diese vielleicht in absehbarer Zeit aufgebrochen werden kann. Wenn die verlorenen Daten allerdings schnell wieder benötigt werden, kann es durchaus auch ein gangbarer Weg sein, in den sauren Apfel zu beißen und die geforderte Summe zu zahlen - wie es das FBI in solchen Fällen empfielt. In der Ransomware-Szene wird immerhin Wert darauf gelegt, dass bei zahlenden Opfern die Daten wieder freigegeben werden. Immerhin will man hier ja auch zukünftig Einnahmen mit solchen Schädlingen generieren - was nicht funktionieren würde, wenn gemeinhin bekannt ist, dass die Daten auch bei zahlungswilligen Nutzern verloren sind. RE: Immer neue Locky-Wellen - Virenscanner nutzlos? - Olaf - 29.02.2016 23:12 Quelle: winfuture.de Immer neue Wellen der Ransomware Locky gehen durchs Netz. Und die Erpresser hinter der Malware reagieren auf die gestiegene Aufmerksamkeit der Nutzer, indem sie mit größer werdenden Mengen an Spam versuchen, zusätzliche Nutzerkreise zu erreichen und die Zahl der Opfer so weiter zu steigern.
Unterdessen haben unsere Kollegen von SemperVideo weitere Experimente mit der Ransomware angestellt. Nachdem zuletzt ja bereits demonstriert werden konnte, wie der Krypto-Trojaner grundsätzlich arbeitet, stellte sich bei vielen Nutzern nun die Frage, wo Kopien wichtiger Dateien vielleicht sicher davor sind, verschlüsselt zu werden. Es zeigt sich, dass die Erpresser nicht gerade viele Stellen unangetastet lassen. Klar ist natürlich, dass der lokale Nutzerordner zuerst im Visier von Locky ist. Denn hier dürften die meisten privaten Daten zu finden sein, mit denen die Anwender zur Zahlung des gewünschten Betrages erpresst werden können. Allerdings sollte niemand auf die Idee kommen, die eigenen Daten wären sicher, wenn sie einfach an anderen Stellen ablegt werden - mit einer Ausnahme. Grundsätzlich sucht die Ransomware nicht nur auf dem lokalen Speicher nach Dateien, die lohnenswerte Ziele darstellen können. Grundsätzlich wird nahezu alles abgegrast, was diekt ins Datei-System eingebunden ist. Dabei ist es unerheblich, ob es sich um externe Laufwerke, Cloud-Speicherdienste oder geöffnete TrueCrypt-Container handelt. Dies ist besonders auch dann wichtig, wenn man sich mit dem Anlegen von Backups schützen will. Diese sind nur dann vor dem Zugriff der Ransomware sicher, wenn sie auf einem Datenträger gespeichert sind, der nicht mit dem lokalen System verbunden ist. Es gibt aber eine Stelle, wo Locky wohl nicht nach Dateien des Nutzers sucht: Das Windows-Verzeichnis. Dieses wird aus naheliegenden Gründen in Ruhe gelassen. Immerhin soll nicht riskiert werden, dass der Rechner nicht mehr hochfährt, denn dann wäre es schwierig, dem Anwender klarzumachen, wohin ein Lösegeld zu überweisen ist. |