Erpressungs-Trojaner Locky ist wieder da und macht PCs unbenutzbar!

Locky ist wieder da: Seit Anfang August wurden neue, unterschiedliche Versionen des Erpressungs-Trojaners Locky gesichtet. Dieser versucht, meist als Email-Anhang, PCs zu infizieren und die darauf gespeicherten Dateien zu verschlüsseln. Die Daten soll man erst nach einer „Lösegeld-Zahlung“ wieder nutzen können, da sie nach der Verschlüsselung unbrauchbar sind: Starten kann man den Computer zwar noch, allerdings sind alle darauf gespeicherten Dateien bis zum Entschlüsseln nicht mehr nutzbar!

Zu Beginn der ersten Infektions-Welle Anfang letzten Jahres gingen Experten zunächst von 5.000, später von 20.000 infizierten PCs aus – pro Stunde! Der Erpresser-Virus „Locky“ kommt meistens als Email auf den Rechner, die eine angebliche Rechnungen enthalten soll: Im Hintergrund wird stattdessen der Virus installiert und verschlüsselt sämtliche verfügbaren Dateien, Dokumente oder Fotos mit einem zur Zeit nicht knackbaren 128-Bit Code.

Bei den aktuellen Locky-Varianten enthalten die gefährlichen Emails jetzt hauptsächlich Anhänge mit der Dateiendung .zip und .vbs sowie .pdf mit eingebettetem .docm-Element, außerdem .js Anwendungen. Die verschlüsselten Dateien erhalten automatisch die Dateiendung „.diablo6“ oder „.lukitus“, ein neuer Hinweis-Text nach der Verschlüsselung des PCs lautet laut Malwarebytes:

!!! IMPORTANT INFORMATION !!!

All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
http://en.wikipedia.org/wiki/RSA_(cryptosystem)
http://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Decrypting of your files is only possible with the private key and decrypt program, which is on our server. To receive yout private key follow one of these links (…)

Für andere Trojaner wurden später oft Schutz-Programme entwickelt, die die eigenen Daten wieder retten können – für Locky allerdings noch nicht. Wer die Daten aber schnell wieder freischalten muss, kommt bisher um eine Zahlung des Lösegeldes nicht herum. Wer abwarten kann, sollte die Daten sichern, falls man den PC löschen und die Festplatte formatieren möchte: Es besteht zumindest eine kleine Chance, dass sich die Daten später retten lassen.

Vor Locky schützen: Darauf muss man achten!

Locky verbreitet sich hauptsächlich per Email – hier muss man bei Nachrichten mit Anhang von unbekannten Absendern jetzt besonders vorsichtig sein, außerdem sollte der Rechner und verwendete Programme auf dem neusten Stand sein: Wer noch mit Windows XP im Internet surft, ist einer deutlich höheren Gefahr ausgesetzt, da seit zwei Jahren keine Updates mehr veröffentlicht werden.

Regelmäßige Updates und Backups!

Um sich vor dem Trojaner zu schützen, sollte man die regelmäßigen Sicherheit-Updates einspielen, die etwa von Microsoft für Windows und Office, aber auch für die genutzten Webbrowser und den Flash-Player angeboten werden: Über in diesen Programmen bekannt gewordene Fehler und Sicherheitslücken schaffen es Viren, sich unbemerkt im Hintergrund zu installieren.

Außerdem sollte man von allen wichtigen Dateien, Fotos und Dokumenten ein Backup auf einen externen Datenträger sichern – zum Beispiel auf eine externe Festplatte, die normalerweise nicht immer am Rechner angeschlossen ist (denn sonst findet und verschlüsselt Locky die Daten da auch!), USB-Sticks oder CDs/DVDs.

Datei-Endnung anzeigen: Welche Datei ist das überhaupt?

Viele Viren verstecken sich in angeblichen Office-Dateien, PDF-Dokumenten oder ZIP-Archiven, die nur über den Datei-Namen getarnt sind: Sie heißen zum Beispiel „Rechnung.doc.exe“ oder „Mahnung.zip.exe“. Leider zeigt Windows in der Standard-Einstellung den eigentlichen Dateianhang nicht an, die Datei wird dann als harmlose „Rechnung.doc“ oder „Mahnung.zip“ dargestellt. Um das zu ändern, sollte man in den Windows-Einstellungen die Dateinamen-Erweiterung einschalten: So zeigt man die Datei-Endung an!

Vorsicht, Makro-Viren!

Da Email-Nutzer bei Nachrichten mit Anhängen immer vorsichtiger werden, kommen Viren aber vermehrt auch als echte, ungefährlich aussehende Office-Dokumente: In den Word oder Excel Dateien befindet sich dann ein Makro, das im Hintergrund den eigentlichen Virus nachlädt und dann heimlich installiert. Wer eine Office-Datei mit Makro erhält, sollte beim Absender nachfragen, um was für eine Art Makro es sich handelt und das Makro sonst nicht zulassen. Außerdem sollte man in den Einstellungen von Word, Excel oder OpenOffice die Ausführung von Makros verbieten (meistens unter „Optionen“ » „Sicherheit“ oder „Trust Center“). Wer nicht weiß, wie das geht, kann gerne kostenlos eine Frage (mit Angabe der Office- und Windows-Version!) in unserem Software-Forum stellen.

So sieht Locky aus:

Ist der PC infiziert, verschlüsselt Locky die Dateien, die er finden kann. Im letzten Jahr blendete die erste Version des Lock-Virus dabei als Hintergrundbild diesen Text ein:

!!! Wichtige Informationen !!!

Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt.
Mehr Informationen über RSA können Sie hier finden:

Die Entschlüsselung Ihrer Dateien ist nur mit einem privaten Schlüssel und einem Entschlüsselungsprogramm, welches sich auf unserem Server befindet, möglich.
Um Ihren privaten Schlüssel zu erhalten, folgen Sie einem der folgenden Links:
1. http://6dtxgqam4crv6rr6.tor2web.org …
2. http://6dtxgqam4crv6rr6.onion.to …
3. http://6dtxgqam4crv6rr6.onion.cab …

Sollte keine der Adressen verfügbar sein, folgen Sie den folgenden Schritten:
1. Laden Sie einen Tor Browser herunter und installieren diesen …
2. Starten Sie den Browser nach der erfolgreichen Installation und warten auf die Initialisierung.
3. Tippen Sie in die Adresszeile: 6dtxgqam4crv6rr6.onion …
4. Folgen Sie den Anweisungen auf der Seite.