So schüt­zen Sie sich vor Lo­cky

Der Ver­schlüs­se­lungs­tro­ja­ner Lo­cky greift die PCs deut­scher Nut­zer in ei­nem Aus­maß an wie schon lan­ge kein Vi­rus mehr. Doch be­reits Stan­dard­vor­keh­run­gen schüt­zen.

PC-WELT - - News / Erpresservirus - VON ARNE AR­NOLD

LO­CKY IST EIN ty­pi­scher Ver­tre­ter der Gat­tung Er­pres­ser­vi­rus. Erst ver­schlüs­selt er Ih­re per­sön­li­chen Da­tei­en auf dem PC, um dann Lö­se­geld für de­ren Frei­ga­be von Ih­nen zu for­dern. Wir zei­gen, wie Lo­cky funk­tio­niert und wie Sie sich ge­gen den Schäd­ling weh­ren kön­nen. So ver­brei­tet sich Lo­cky: Der Ver­schlüs­se­lungs­tro­ja­ner ist un­ge­wöhn­lich breit ge­streut. So ha­ben die Si­cher­heits­ex­per­ten von Trust­wave Spi­der­l­abs fest­ge­stellt, dass in­ner­halb ei­ner Wo­che Mit­te März über vier Mil­lio­nen Spam­mails mit Lo­cky ver­sen­det wur­den. Da­bei er­reicht der Ver­sand von Lo­cky-Mails Spit­zen­wer­te von 200 000 Spam­mails pro St­un­de. Ein wei­te­rer Ver­brei­tungs­weg sind le­gi­ti­me Web­sites, die ge­hackt und mit dem Ex­ploit-Kit Neu­tri­no prä­pa­riert sind. Das Kit nutzt Si­cher­heits­lü­cken aus, um Lo­cky auf den PC des Be­su­chers zu schleu­sen. So in­fi­ziert Lo­cky Rech­ner: Die Ver­brei­ter von Lo­cky ver­än­dern häu­fig die In­fek­ti­ons­me­tho­den ih­res Schäd­lings, um mög­lichst oft un­ge­hin­dert am Vi­ren­schutz der PC-Nut­zer vor­bei­zu­kom­men. Am häu­figs­ten geht Lo­cky aber so vor: Ver­seuch­te Mails wer­den spa­mar­tig ver­sen­det. Sie ent­hal­ten ei­ne Word-Da­tei als An­hang. In der Mail wird der Emp­fän­ger mit ei­nem Vor­wand da­zu ge­drängt, die­sen An­hang zu öff­nen. Die Nach­rich­ten sind oft gut ge­macht. Wer nicht sehr miss­trau­isch ist, kann durch­aus auf die Ma­sche her­ein­fal­len. Die Word-Da­tei im An­hang ent­hält ein Ma­kro, das den ei­gent­li­chen Schäd­ling aus dem In­ter­net lädt. Das rich­tet Lo­cky auf dem PC an: War ein PC-Nut­zer nicht acht­sam ge­nug und hat den An­hang ei­ner Lo­cky-Mail ge­öff­net, wird nicht nur der Schad­code aus dem In­ter­net ge­la­den, son­dern er ak­ti­viert sich auch gleich. Lo­cky durch­sucht dann na­he­zu al­le Ver­zeich­nis­se auf al­len an­ge­schlos­se­nen Lauf­wer­ken, ein­schließ­lich Netz­werk­frei­ga­ben – auch wenn die­sen kein Lauf­werks­buch­sta­be zu­ge­wie­sen ist. Lo­cky ver­schlüs­selt dann Da­tei­en wie Do­ku­men­te, Fotos, Vi­de­os und Mu­sik. Die ver­schlüs­sel­ten Da­tei­en tra­gen die En­dung „.lo­cky“. Die Ori­gi­na­le wer­den ge­löscht. Von Lo­cky be­son­ders be­trof­fen sind Fir­men, in de­nen die Mit­ar­bei­ter ge­mein­sam an Do­ku­men­ten ar­bei­ten. Denn es ge­nügt ja, wenn nur ein Mit­ar­bei­ter auf die Tricks von Lo­cky her­ein­fällt und den Schäd­ling star­tet. Da er Da­tei­en auf Netz­lauf­wer­ken ver­schlüs­selt, blo­ckiert er so auch die Ar­beit der Mit­ar­bei­ter, de­ren PCs noch nicht in­fi­ziert sind. Lo­cky hat an­geb­lich auch die Sys­te­me von ei­ni­ge Kran­ken­häu­sern in­fi­ziert. Da es dort nicht nur um Geld geht (Aus­fall von Ar­beits­zeit), son­dern auch um die Ge­sund­heit von Men­schen, dürf­te die Zah­lungs­be­reit­schaft von Kran­ken­häu­sern recht hoch sein. So brem­sen Sie Lo­cky & Co.: Fein raus sind Sie, wenn Sie erst gar nicht auf ris­kan­te Mailan­hän­ge kli­cken. Al­ler­dings ist je­der ak­ti­ve In­ter­net­nut­zer ir­gend­wann mal ge­fähr­det, ei­nen sol­chen Feh­ler zu ma­chen. Dar­um gilt als bes­ter Schutz ge­gen Ver­schlüs­se­lungs­tro­ja­ner wie Lo­cky ein voll­um­fäng­li­ches Back­up. Und die­ses soll­ten Sie nach dem Si­che­rungs­vor­gang un­be­dingt ge­trennt vom PC la­gern. Denn selbst die bes­te Si­che­rung nützt Ih­nen nichts, wenn ein Tro­ja­ner auch die­se ver­schlüs­seln konn­te. Na­tür­lich ist ge­gen Lo­cky & Co. ein ak­tu­el­les An­ti­vi­ren­pro­gramm nütz­lich. Ein Gra­tis­wäch­ter spe­zi­ell ge­gen Lo­cky & Co. ist Mal­wa­re­by­tes An­ti-Ran­som­ware ( www.pcwelt.de/2178151). Schließ­lich gibt es Tools, die ver­schlüs­sel­te Da­tei­en mit et­was Glück ent­schlüs­seln kön­nen. Tes­ten Sie im Not­fall das Tool un­ter https:// noran­som.kas­per­s­ky.com oder su­chen Sie auf der Web­site Ih­res An­ti­vi­ren­her­stel­lers im Ser­vice­be­rei­che nach ei­nem pas­sen­den De­co­der. Ei­ne letz­te Mög­lich­keit kann auch die Zah­lung des ge­for­der­ten Lö­se­gelds sein. Ob Sie da­für aber ei­nen funk­tio­nie­ren Ent­schlüs­se­lungs­code er­hal­ten, ist völ­lig un­ge­wiss.

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.