DORN edv Dienstleistungen

 Home
 Philosophie
 Dienstleistungen
 Produkte
 Kontakt
 
 News
 Team
 Datenschutz
 Impressum
 
 Support
 
Logo Microsoft Certified Professional

News

17.05.2016 Erpressungstrojaner

Kürzlich hat sich eine Kundin gemeldet, daß sie ihre Dateien am Desktop nicht mehr öffnen kann, da diese alle auf .encrypted umbenannt wurden. Eine kurze Recherge führte mich zum Crypt0L0cker. Ich habe der Kundin geraten, den Computer sofort auszuschalten, nicht runterzufahren, sondern so lange auf den Ausknopf zu drücken, bis das Ding steht.

Der Crypt0L0cker ist ein Erpressungstrojaner bzw. Ransomware. Wenn dieses Programm einmal auf dem PC läuft, verschlüsselt es die Dateien und fordert den Benutzer auf, eine Gebühr, meistens in Bitcons, zu überweisen. Über den Command-Server wird dann der Schlüssel zum Entschlüsseln an den PC geschickt. Es gibt jedoch keine Garantie, daß die Dateien nach der Bezahlung auch entschlüsselt werden.

Es gibt verschiedenste Varianten dieser Erpressungstrojaner. Manche kommen als UPS Versandbestätigung (wie in diesem Fall), andere kann man sich auf Websites über Flash-Lücken einfangen, andere nutzen Schwachstellen in PDF und JPG Dateien aus oder verwenden manipulierte Word- und Excel Dateien.

Meine Kunden hatte am Tag davor eine UPS Lieferung erwartet, die jedoch nicht geliefert wurde. Daher war sie beim öffnen des UPS E-Mails nicht achtsam genug und hat die angehängte Datei geöffnet. Dabei wurde automatisch ein .exe Programm entpackt und gestartet. Der Virenscanner hat die Variante noch nicht gekannt und die Ausführung der Datei nicht unterbunden.

Nun sind knapp 50.000 Dateien verschlüsselt. Viele dieser Dateien sind gleich in Cloudspeichern wie Dropbox und OwnCloud weiter synchronisiert worden. Wäre der Computer auch mit einem Server verbunden gewesen, wären die Dateien auf dem Netzlaufwerk ebenfalls verschlüsselt worden.

Im Februar hat Locky in Deutschland über 5000 System pro Stunde infiziert. Für einige Verschlüsselungsvarianten gibt es bereits Programme, mit denen die Dateien wieder entschlüsselt werden können. Nicht jedoch für den Crypt0L0cker.

Bei meiner Kundin kann der Großteil der Dateien aus dem Backup wiederhergestellt werden. Einige Dateien konnten aus der Verionshistorie von Dropbox wiederhergestellt werden. Leider hat die Kundin das letzte Backup schon vor einigen Monaten erstellt. Daher fehlen einige aktuelle Dateien bzw. sind Dateien nicht auf dem neuesten Stand.

Ich habe dazu die SSD ausgebaut und direkt an meinem Rechner angehängt. Mein Virenscanner hat den Trojaner sofort gefunden und entfernt. Danach habe ich ein Script erstellt, daß alle .encrypted Dateien gesucht hat und die entsprechende Datei aus dem Backup wiederhergestellt hat. So konnte ich bis auf 160 Dateien alle verschlüsselten Dateien wiederherstellen.

Nachdem ich die SSD wieder in den Rechner eingebaut hatte, habe ich das System untersucht. Der Virenscanner war deinstalliert. Warum läßt sich jetzt nachträglich nicht mehr klären. Auch einige Programme wie Adobe Reader, Adobe Flash und Oracle Java waren völlig veraltet. Die Kunden hat die Aktualisierungshinweise einfach ignoriert. Aber genau bei diesen Programmen werden Sicherheitslücken oft ausgenutzt.

Empfohlene Maßnahmen


Jedes E-Mail genau hinterfragen, auch wenn es offiziell aussieht oder von einer bekannten E-Mail Adresse kommt. Vorsichtig sein bei allen Dateianhängen. Die Dateianhänge zuerste speichern und danach mit dem entsprechenden Programm öffnen. Besser PDF Dateien statt Word oder Excel Dateien verschicken

Die Datensicherung regelmäßig bzw. täglich durchführen. Mehrere Sicherungsmedien verwenden, mehrere Sicherungsgenerationen anlegen. Das Sicherungsmedium nur während der Datensicherung mit dem Computer verbinden.

Einen aktuellen Virenscanner verwenden und überprüfen, ob die Virendefinitionen aktuell sind.

Im Falle einer Infektion PC sofort ausschalten. Nichts an die Erpresser bezahlen, es gibt keine Garantien. Die betroffene Festplatte bzw. SSD ausbauen und in einem anderen Rechner bereinigen. Die Dateien aus der Datensicherung wiederherstellen.

Datensicherung! Datensicherung! Datensicherung!

Druckversion Zum Seitenanfang
DORN edv Dienstleistungen | Hauptstraße 28, A-3375 Krummnußbaum | +43 (676) 4059429 | edv@dorn.cc
Website erstellt von DORN edv Dienstleistungen