webBrett

Immer neue Wellen der Ransomware Locky gehen durchs Netz. Und die Erpresser hinter der Malware reagieren auf die gestiegene Aufmerksamkeit der Nutzer, indem sie mit größer werdenden Mengen an Spam versuchen, zusätzliche Nutzerkreise zu erreichen und die Zahl der Opfer so weiter zu steigern.

Unterdessen haben unsere Kollegen von SemperVideo weitere Experimente mit der Ransomware angestellt. Nachdem zuletzt ja bereits demonstriert werden konnte, wie der Krypto-Trojaner grundsätzlich arbeitet, stellte sich bei vielen Nutzern nun die Frage, wo Kopien wichtiger Dateien vielleicht sicher davor sind, verschlüsselt zu werden. Es zeigt sich, dass die Erpresser nicht gerade viele Stellen unangetastet lassen.

Klar ist natürlich, dass der lokale Nutzerordner zuerst im Visier von Locky ist. Denn hier dürften die meisten privaten Daten zu finden sein, mit denen die Anwender zur Zahlung des gewünschten Betrages erpresst werden können. Allerdings sollte niemand auf die Idee kommen, die eigenen Daten wären sicher, wenn sie einfach an anderen Stellen ablegt werden - mit einer Ausnahme.

Grundsätzlich sucht die Ransomware nicht nur auf dem lokalen Speicher nach Dateien, die lohnenswerte Ziele darstellen können. Grundsätzlich wird nahezu alles abgegrast, was diekt ins Datei-System eingebunden ist. Dabei ist es unerheblich, ob es sich um externe Laufwerke, Cloud-Speicherdienste oder geöffnete TrueCrypt-Container handelt. Dies ist besonders auch dann wichtig, wenn man sich mit dem Anlegen von Backups schützen will. Diese sind nur dann vor dem Zugriff der Ransomware sicher, wenn sie auf einem Datenträger gespeichert sind, der nicht mit dem lokalen System verbunden ist.

Es gibt aber eine Stelle, wo Locky wohl nicht nach Dateien des Nutzers sucht: Das Windows-Verzeichnis. Dieses wird aus naheliegenden Gründen in Ruhe gelassen. Immerhin soll nicht riskiert werden, dass der Rechner nicht mehr hochfährt, denn dann wäre es schwierig, dem Anwender klarzumachen, wohin ein Lösegeld zu überweisen ist.