Locky weiterhin auf dem Vormarsch

Die Ransomware Locky verbreitet sich weiterhin munter auf Computern in aller Welt.
Ist Locky einmal auf einem Rechner, verschlüsselt die Software Dateien auf allen vom Rechner erreichbaren Laufwerken. Die Dateien werden mittels AES verschlüsselt und die Originaldateien werden gelöscht. So ganz nebenbei versucht das Programm auch etwaige vorhandene Schattenkopien mit dem Befehl

vssadmin.exe Delete Shadows /All /Quiet

zu löschen. Da dieser Befehl administrative Rechte auf einem Windowssystem erfordert, sollte eine entsprechende Meldung des UAC sie dazu ermuntern, sofort den Stecker zu ziehen.

Locky verschlüsselt nicht alle Dateien auf einem Rechner. Dateien mit einer der folgenden Zeichenketten

tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows

im Dateipfad werden von der Verschlüsselung ausgenommen.

locky2Sind auf einem betroffenen System alle erreichbaren Dateien verschlüsselt wird der Erpresserbrief am Bildschirm angezeigt, der dem Nutzer die Entschlüsselung verspricht, sofern 0,5 Bitcoin bezahlt werden.

Die ersten Versionen von Locky kamen als Anhang in einer E-Mail eines deutschen Wurstfabrikanten. in der angehängten Worddatei (.doc) befindet sich ein Makro, das bei Ausführung die eigentliche Schadsoftware herunterlädt.
Auf Grund des „grossen Erfolges“ von Locky existieren mittlerweile zahlreiche Varianten. Einmal getarnt als Word- oder Exceldokument in einer E-mail die angeblich eine Rechnung oder auch eine Gutschrift enthalten soll, ein andermal als gepackte Javascriptdateien.

Eine kürzlich aufgetauchte Variante tarnt sich als Mitteilung des VOIP Anbieters Sipgate mit einem angeblichen Fax im Anhang.
Mittlerweile finden sich auch bereits Websites die den Schadcode über bekannte Sicherheitslücken in Browsern und anderen Programmen auf den Rechner schleusen können.

Eine ganz neue Variante verwendet kleine Batch Dateien (.bat; .cmd). Die Batch-Datei führt unter anderem den Windows Script Host aus (cscript.exe), mit dem Befehl den Krypto-Trojaner aus dem Netz herunterzuladen und auszuführen.

Da ständig neue Variationen dieser Ransomware auftauchen, hinken die Hersteller von AV Programmen da natürlich hinterher.
Von Malwarebytes gibt es „Malwarebytes Anti-Ransomware“, eine Software die laut Test von Heise recht gut arbeitet. Jedoch handelt es sich dabei um eine Beta Version, die noch keineswegs stabil auf jedem Rechner läuft.
===Update 03.03.2016=====
Aktuell kursieren Mails die vermeintlich vom BKA stammen. In den Mails wird ein vorgebliches „Analysetool“ mitgeschickt. Bitte nicht diese Datei ausführen. Dummerweise handelt es sich dabei um einen Trojaner.
Neue Locky-Welle

In den letzten Tagen wurden vermehrt Mails mit dem Betreff „Whitehouse paperwork“ mit einem ZIP-Archiv im Gepäck versendet, wie heise Security beobachtet hat. Es handelt sich dabei angeblich um eingescannte Dokumente, die von einem Büro-Farbkopierer des Types Aficio MP C2500 verschickt wurden, wie sie in vielen Büros zum Einsatz kommen. Als Absender wird dabei die Domain der Empfängeradresse missbraucht. Tatsächlich haben diese Mails auch Locky im Gepäck.
===End of Update=====

Aktuell gibt es noch keine Möglichkeit die durch Locky verschlüsselten Dateien wieder zu entschlüsseln. So kein Backup vorhanden ist, war´s das mal mit ihrer IT.

Um den Schaden auf Windows Fileservern möglichst gering zu halten sollte die Rolle „Resourcen-Manager für Dateiserver“ installiert und entsprechend konfiguriert werden. Eine entsprechende Anleitung finden sie auf https://www.frankysweb.de. Es ist zwar kein richtiger Schutz, jedoch immer noch besser als ins Büro zu kommen und alle Dateien sind gelöscht oder verschlüsselt.

Also liebe Benutzer: „Bitte nicht gedankenlos jeden Anhang öffnen, der sich im Posteingang des E-Mail Programmes findet.
Also liebe Admins: „Aktuelle Backups können das Leben ungemein erleichtern“.
Also liebe Entscheider: „Gebt der IT die Mittel in die Hand um das Firmennetzwerk möglichst gut zu sichern und im Falle von Disaster das Recovery auch durchführen zu können“.

Ach ja Hier überall nistet sich die Software auf einem Rechner ein:
im Dateisystem:

%UserpProfile%\Desktop\_Locky_recover_instructions.bmp
%UserpProfile%\Desktop\_Locky_recover_instructions.txt
%Temp%\[random].exe

in der Registry:

HKCU\Software\Locky
HKCU\Software\Locky\id
HKCU\Software\Locky\pubkey	
HKCU\Software\Locky\paytext
HKCU\Software\Locky\completed	1
HKCU\Control Panel\Desktop\Wallpaper	"%UserProfile%\Desktop\_Locky_recover_instructions.bmp"

Hier noch eine Übersicht der Dateitypen die von Locky verschlüsselt werden

.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11, .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert