Unternehmen im Visier
Work ow naheliegend ist: Sie klicken auf „Inhalte aktivieren“im scheinbar leeren Dokument. Andere Locky-Varianten tarnen sich als Fax oder als gescanntes Bild im Mail-Anhang, die Zielrichtung Büro und Unternehmen ist klar ersichtlich. Hat der Mitarbeiter das Makro er- laubt, lädt es die eigentliche Schadsoftware aus dem Netz und startet sie. Der Trojaner beginnt, alle Dokumente, Bilder, Mediendateien oder Web-Dateien zu verschlüsseln. Fatalerweise passiert dies auch auf Netzlaufwerken, was gerade in Firmen großen Schaden anrichtet. Die Dateien bekommen die Endung .locky, und im geschredderten Verzeichnis liegt eine Textdatei Locky_recover_ instructions.txt. Sie enthält die Erpresser-Nachricht: „Alle Dateien sind mit RSA 2048 und AES-128 Chi re verschlüsselt … Entschlüs-
Quelle: Kaspersky seln von Dateien ist nur mit dem privaten Schlüssel und einem Entschlüsselungsprogramm möglich, das auf unserem geheimen Server liegt“. Diesen Text blendet Locky nach getaner Arbeit zusätzlich auf dem Desktop-Hintergrund ein. Das Opfer soll einen anonymen Server im Tor-Netzwerk aufsuchen, wo die Erpresser ihn au ordern, 0,5 bis 1 Bitcoin zu zahlen, um den Locky-Encryptor zu erhalten. Der Kurs für einen Bitcoin schwankt zwischen 250 und 500 Euro. Haben Opfer kein Backup, wird ihnen nichts anderes übrig bleiben, als diesen Weg zu gehen (siehe Kasten: „In ziert – was tun?“auf der nächsten Seite). Bis zum Redaktionsschluss war die Verschlüsselung von Locky noch nicht geknackt. Sie macht es den Sicherheitsexperten schwer, da der Trojaner den Schlüssel nicht lokal erzeugt, dann könnte man