locky

Der Verschlüsselungstrojaner (Ransomware) Locky ist auch weiterhin aktiv. Kaspersky Lab kennt derzeit (Stand 26. Februar 2016) über 60 Modifikationen von Locky.

Analysen von Kaspersky Lab ergaben, dass Internetanwender in Deutschland und Frankreich der höchsten Gefährdung durch Locky ausgesetzt sind. Eine hohe Gefährdung besteht auch für Nutzer in Südafrika, Österreich, Italien, den USA, China und Indien [1].

Nach wie vor nutzt Locky insbesondere zwei Angriffsvektoren: Locky gelangt über gefälschte Rechnungen im E-Mail-Anhang auf den Rechner. Sobald das der E-Mail angehängte Dokument geöffnet wird, wird die Schadsoftware aus dem Internet nachgeladen – sofern die für die Infizierung nötigen Makros aktiviert sind. Daneben kennt Kaspersky Lab auch legitime Internetseiten, auf denen die Locky-Schadsoftware platziert wurde. Besucht ein Nutzer – mit entsprechenden Software-Schwachstellen auf seinem Rechner – eine entsprechende Seite, versucht sich Locky automatisch auf diesem Rechner zu installieren. In neueren Versionen tarnt sich Locky auch als Fax- oder Scanner-Benachrichtigung. Sobald Locky [2] einen Weg auf den infizierten Rechner gefunden hat, startet der Trojaner seine Verschlüsselungsaktivitäten und fordert im Anschluss von den Opfern ein Lösegeld [3].

„Die Kriminellen hinter Locky versuchen derzeit aus der Erpressersoftware alles rauszuholen und größtmöglichen Profit zu erzielen“, sagt Marco Preuss, Leiter des europäischen Forschungs- und Entwicklungsteams von Kaspersky Lab. „Locky ist kein ‚Kinderfasching‘, hier hat jemand viel kriminelle Energie investiert.“

Wird das Jahr 2016 zum Jahr der Ransomware?

Erpressungs- und Verschlüsselungstrojaner sind kein neues Phänomen. Bekannte Fälle sind beispielsweise Coinvault oder Teslacrypt. Auch mobile Ransomware, die sich gegen Android-Nutzer richtet, ist weiter auf dem Vormarsch. Laut des Kaspersky Security Bulletin 2015/2016 [4] hatte es bereits im vergangen Jahr 2015 jede sechste Ransomware-Attacke auf Android-Geräte abgesehen. Insgesamt gab es 2015 bei den von Ransomware attackierten Nutzern weltweit einen Anstieg um 48,3 Prozentpunkte [5].

Locky setzt diesen Trend fort. „2016 wird wohl das Jahr der Ransomware. Allein im Februar 2016 haben wir auf unsere Kunden so viele Angriffsversuche durch Ransomware gezählt wie etwa in den vorangegangenen fünf Monaten“, ergänzt Marco Preuss.
Aktuell zählt Kaspersky Lab im Februar 2016 bereits über 40.000 infizierungsversuche durch Ransomware auf seine Kunden. Im weltweiten Vergleich liegt Deutschland auf Rang 3 der durch Ransomware gefährdeten Länder, hinter Russland und Indien.

Kaspersky-Sicherheitstipps

Um sich vor einem Ransomware-Angriff zu schützen, empfiehlt Kaspersky Lab die folgenden Sicherheitsmaßnahmen:
•    Vorsicht bei E-Mail-Anhängen: Nutzer sollten keine Attachments innerhalb von E-Mails von unbekannten Personen öffnen. Zudem empfiehlt es sich, die  Makro-Funktion in Dokumenten zu deaktivieren, weil sich Locky über eben diese auf einem Rechner einnistet.
•    Regelmäßig Backups erstellen, damit man im Ernstfall wieder auf die verschlüsselten Daten zurückgreifen kann.
•    Software aktualisieren: Betriebssystem, Browser und alle weiteren genutzten Programme sollten immer mit den aktuell verfügbaren Patches auf den neuesten Stand gebracht werden.
•    Aktuelle Sicherheitssoftware einsetzen: Moderne Antivirenschutzlösungen wie Kaspersky Total Security – Multi-Device [6] schützen vor einer Infizierung. Mittels spezieller Technologien wie dem Aktivitätsmonitor von Kaspersky Lab können bei einer unerlaubten Verschlüsselung die betroffenen Daten wiederhergestellt und ein System auf den ursprünglichen Zustand zurückgesetzt werden.
•    Nicht bezahlen: Kaspersky Lab rät davon ab, das geforderte Lösegeld zu bezahlen. Stattdessen sollten bei digitalen Erpressungsversuchen die Strafverfolgungsbehörden eingeschaltet werden.

Die Lösungen von Kaspersky Lab erkennen und blockieren Locky unter dem Namen „Trojan-Ransom.Win32.Locky“. Die Signaturdatenbanken wurden bereits am 07. Februar 2016 entsprechend aktualisiert. Zudem wurde die maliziöse Aktivität eines laufenden Locky-Prozesses bereits proaktiv durch die verhaltensbasierte Kaspersky-Technologie Aktivitätsmonitor [7] erkannt, die einen speziellen Ransomware-Schutz bietet.

Legende