Alpha-Soft Computer Security GmbH
/

 Ihr Spezialist für kaufmännische Software und Netzwerksysteme

Malware-News


Zurück zur Übersicht

22.11.2016

Kryptotrojaner - Schadprogrammwelle

Das Notfall Team des BSI (CERT-Bund) warnt akutell vor neuen Locky-Versionen. Treu geblieben sind die Erpressungstrojaner Entwickler der nordischen Mythologie. Verschlüsselten Schadprogramme dieser Familie Dateien mit der Namenserweiterung .odin (bzw. .locky oder .zepto) erfolgt die Verschlüsslung jetzt mit der Datei-Endung .aesir.

Nach wie vor versucht die Gruppe hinter dem Verschlüsselungs-Trojaner Opfer mit betrügerischen E-Mails (z.B. Bewerbungs-E-Mails) inklusive Anhang aufs Glatteis zu führen. Aktuell verschickt man im Namen von Telekommunikationsanbietern gefälschte E-Mails, mit gefährlichem Dateianhang. In den Mails behaupten die Kriminellen, dass der Computer des Nutzers zum Spam-Versand missbraucht wird und belegen diesen Vorgang mit einer angeblichen LOG-Datei(en), die als ZIP Anhang an der E-Mail hängt. Wer den Anhang öffnet, fängt sich den Schädling umgehend ein. Anschließend startet Locky die Verschlüsselung und platziert seine Erpresser-Botschaft auf betroffenen Computern.

Aktuell gibt es für die neuen Varianten noch kein kostenloses Entschlüsselungs-Tool, um von Locky gefangene Dateien ohne Lösegeldzahlung zu befreien. In der Vergangenheit wurden Lösegelder im Bereich von wenigen hundert Euro bis einige Tausend Euro in Form von BITCOINs verlangt.
Denken Sie daher bitte immer daran:
Erstellen Sie regelmäßig (automatisch) eine ausgelagerte Datensicherung!

Verwenden Sie im Unternehmensbereich "Mailanalyse" und "Prüftools",
damit derartige E-Mail Anhänge schon am Server ausgefiltert und in Quaratäne gelegt werden und gar nicht erst beim Benutzer im E-Mail Postfach landen. Kritische Anhänge sollte der E-Mail Server gleich direkt ablehnen (das können die meisten guten E-Mail Server)

Wir empfehlen als Prüf- und Filtertools z.B. von GFI:
GFI-Mail-Essentials

Wer an einem Test zur Früherkennung von Kryptotrojaner teilnehmen möchte, kann dies bei dem Sicherheitunternehmen McAfee (Intel Security) tun. Hier hat man mit dem "McAfee Ransomware Interceptor" ein Tool entwickelt, was frühzeitig Dateiverschlüsslungen erkennen und verhindern kann. Im Falle einer Erkennung warnt das Tool und versucht den Prozess zu blockieren um damit die Verschlüsslung zu verhindern.
Da es noch in der Testphase ist, können wir nichts zur Zuverlässigkeit aussagen. Unsere Tests im Labor verliefen bisher erfolgreich und verhinderten einen Befall des Computers. Der Schutz bzw. Test erfolgt trotzdem immer auf eigenes Risiko.

Infos und Download gibt es hier: Interceptor

Diese von McAfee (Intel Security) als DAC (Dynamic Application Containment) bezeichnete Funktion zieht auch in alle neue Sicherheitsprodukte aus dem Hause McAfee (z.B. McAfee Endpoint Security 10.5) ein und bildet damit ein wirklungsvolles Schutzschild gegen Angriffe der Art von Locky.



Zurück zur Übersicht