5300 Infektionen pro Stunde Erpresser-Trojaner "Locky" wütet in Deutschland
News folgenDer vorige Woche aufgetauchte Erpresser-Trojaner "Locky" verbreitet sich rasend schnell. Jetzt flattert der Schädling über Excel-Dateien auf den PC – doch Virenforscher warnen bereits vor einer nächsten, noch gefährlicheren Welle.
Der britische Sicherheitsexperte Kevin Beaumont konnte sich offenbar in den Datenverkehr zwischen den infizierten PCs und Lockys Kontrollserver einklinken. Beaumont will 5300 Neuinfektionen mit dem Trojaner durch gefälschte E-Mails pro Stunde gezählt haben. Damit lag die Infektionsrate in Deutschland deutlich vor Ländern wie den Niederlanden mit 2900 Infektionen und den USA mit 2700.
Neben dem Fraunhofer-Institut in Bayreuth zählte in dieser Woche noch ein weiteres Krankenhaus in Nordrhein-Westfalen zu den Opfern des Daten-Kidnappers. Großen Schaden soll Locky allerdings nicht angerichtet haben, da er sehr schnell entdeckt wurde. Die Schadsoftware verschlüsselt die Daten auf infizierten Computern und gibt diese erst nach Zahlung eines Lösegeldes wieder frei.
Locky spricht Deutsch
Die Forderung nach Lösegeld werden inzwischen auch in korrektem Deutsch angezeigt, berichtete Beaumont auf Twitter. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät Betroffenen von Lösegeldzahlungen ab. Stattdessen sollte man den Bildschirm mitsamt der Erpressungsnachricht fotografieren und Anzeige erstatten.
Locky wird nach derzeitigen Erkenntnissen vor allem per Mail verbreitet. Es handelt sich zumeist um frei erfundene Rechnungen oder Mitteilungen, welche die Neugier des Empfängers wecken sollen. Im Anhang befindet sich ein präpariertes Office-Dokument, das die Infektion auslöst. Neben Word verwenden die Online-Kriminellen zusätzlich die Tabellenkalkulation Excel: Das luxemburgische CERT registrierte innerhalb einer halben Stunde 500 Mails, die im Anhang eine Excel-Datei mit schädlicher Macro-Funktion trugen.
Computer mit Office als Angriffspunkt
Nach Informationen des amerikanischen Sicherheitsunternehmens "Proofpoint" nutzen einige Locky-Varianten zudem bekannte Sicherheitslücken in Office aus, speziell Schwachstellen aus den Jahren 2015 und 2012.
Für Nutzer mit Microsoft Office bedeutet dies konkret, dass ihr Computer eine solche Word- oder Excel-Datei nicht zwingend als Makro-Datei kennzeichnen muss. Der bösartige Code kann auch in normalen Dokumenten mit der Dateinamenserweiterung ".doc" und ".xls" stecken. Windows-Rechner blenden diese Zusatzinformation für gewöhnlich aus.
Browser im Fadenkreuz
Auch als PDF-Dokument getarnten JavaScript-Code wollen die Virenforscher beobachtet haben. Dies hätte fatale Folgen für das Surfen im Internet. Denn die Scriptsprache für HTML, die Sprache der Internetseiten, ist zentraler Bestandteil eines jeden Browser-Programms und wird automatisch ausgeführt.
Die Online-Kriminellen sollen nach Angaben von "Heise Security" schon dazu übergegangen sein, den Locky-Trojaner über Sicherheitslücken im Browser und den installierten Plug-ins wie Flash zu verbreiten. Dies erschwert seine Erkennung durch Antiviren-Programme.
So schützen Sie sich
Der Erfolg des Daten-Kidnappers macht deutlich, dass offenbar immer noch viele Nutzer unbedarft auf Anhänge in Mails unbekannter Absender klicken. Ebenfalls scheinen viele Office-Nutzer die Makrosicherheit nicht hoch genug eingestellt oder Sicherheitsupdates nicht eingespielt zu haben. Wer sich vor derartigen Angriffen schützen will, muss sein System und Virenscanner stets auf dem aktuellen Patch-Stand halten. Ferner sorgen regelmäßige Backups dafür, dass Sie weniger von den Daten auf dem Rechner oder mobilen Geräten abhängig sind. Diese sollten Sie "offline" auf einem externen Speichermedium erstellen, also nicht über eine im Netzwerk verbundene Festplatte.
Eine Schritt-für-Schritt-Anleitung zur Erstellung für ein komplettes Windows-Systemabbild finden Sie in unserer Foto-Show.
