Startseite > Deutschland, IT-News, IT-Sicherheit, Microsoft / Windows > [Expertenwissen] Krypto-Trojaner: Einzelheiten, Schutz & Gegenmaßnahmen | Teil 1 – LOCKY // #locky @chabermu

[Expertenwissen] Krypto-Trojaner: Einzelheiten, Schutz & Gegenmaßnahmen | Teil 1 – LOCKY // #locky @chabermu

3. März 2016

Über LOCKY bekommen Sie in den allgemeinen Medien bislang nur wenig detaillierte Einzelheiten und kaum brauchbare Hinweise, wie Sie Ihre persönlichen Dateien vor der bösartigen Verschlüsselung und anschließenden Lösegeld-Erpressung schützen.

Inhaltslos heißt es leider durchgängig nur » Machen Sie Daten-Sicherungen, Backups etc. … «.

In der folgenden Beitragsreihe bekommen Sie ganz konkrete Antworten zu Ihren Fragen über Einzelheiten, Tipps zum Schutz und klare Hinweise zu Gegenmaßnamen gegen die heimtückische Verschlüsselung von Dateien durch Krypto-Trojaner.

 

Weitere Top-Artikel zu diesem Themengebiet:

 

Welche Krypto-Trojaner sind bislang bekannt, die Lösegeld für die Dateien-Entschlüsselung erpressen ? (Stand: März 2016)

  • Dirty Decrypt
  • CryptoLocker
  • CryptoWall / Cryptodefense
  • Critroni / CTB Locker
  • TorrentLocker
  • Cryptographic Locker
  • TeslaLocker
  • Locky

 

Welche Rechner sind durch den Krypto-Trojaner LOCKY gefährdet ?

Alle Rechner mit …

  • dem Betriebssystem » Microsoft Windows «,
  • auf denen das Textverarbeitungsprogramm » Microsoft Word « installiert ist und
  • die eine Verbindung zum Internet oder zu einem Netzwerk, z. B. einem Firmen-Netzwerk haben

 

Sind Dateien gefährdet, wenn ich zwar das Betriebssystem » Windows « aber ein anderes Textverarbeitungsprogramm z. B. » Writer « von » LibreOffice « verwende ?

Das gefährliche Makro der infizierten Microsoft-Word-Datei wird bislang nur vom Textverarbeitungsprogramm » Microsoft Word « ausgeführt.

Hinweis Netzwerk-Rechner:

Wenn Ihr Rechner allerding an ein Netzwerk, z. B. einem Firmen-Netzwerk angebunden ist, besteht die Möglichkeit, daß ein anderer Rechner von LOCKY befallen wird und so auch  Dateien verschlüsselt werden, die auf den Netzwerk-Laufwerken abgespeichert sind (siehe auch weiter unten: » Welche Laufwerke werden von LOCKY angegriffen ? «).

 

Sind Dateien gefährdet, wenn ich ein anderes Betriebssystem als » Microsoft Windows « verwende ?

Der Krypto-Trojaner LOCKY ist eine ausführbare Windows32-Datei. Demnach sind nur Rechner mit dem Betriebssystem » Microsoft Windows « gefährdet.

Beachten Sie aber auch weiter oben: Hinweis Netzwerk-Rechner

Sind Dateien gefährdet, wenn ich das Betriebssystem » Microsoft Windows « und das Textverarbeitungsprogramm » Microsoft Word « verwende, jedoch KEINE Verbindung zum Internet habe ?

Wenn Ihr Rechner an ein Firmen-Netzwerk oder sonstigen Netzwerk angeschlossen ist, besteht die Gefahr, daß ein anderer Rechner von dem Krypto-Trojaner LOCKY befallen wird und so auch Ihre privaten Daten verschlüsselt werden, die z. B. auf den Netzwerk-Laufwerken abgespeichert sind.

Beachten Sie aber auch weiter oben: Hinweis Netzwerk-Rechner

 

Wie wird ein Rechner von LOCKY befallen ?

  • Eine E-Mail mit einem infizierten Microsoft-Word-Dateianhang ist mit einem unstimmigen Betreff an Sie geschickt worden
  • Diese infizierte Microsoft-Word-Datei enthält ein gefährliches Makro.
  • Beim Öffnen der infizierten Microsoft-Word-Datei werden Sie gefragt, ob das darin enthaltene Makro gestartet werden soll.
  • Mit dem Start des Makros beginnt das Unheil.
  • Beim Starten des Microsoft-Word-Makros wird der eigentlichen Krypto-Trojaner LOCKY von einem der vielen gehackten Server aus dem Internet heruntergeladen, ausführt und alle ihre privaten Daten sowie vieles Weitere (siehe auch weiter unten: » Welche Laufwerke werden von LOCKY angegriffen ? «) verschlüsselt.

Wichtiger Hinweis

Das gefährliche Makro in der Microsoft-Word-Datei enthält nur den Code zum Nachladen des Krypto-Trojaners LOCKY, jedoch nicht den Krypto-Trojaner selbst.

Wenn also zum Startzeitpunkt des Makros der infizierten Microsoft-Word-Datei keine aktive Internet-Verbindung besteht, kann der Krypto-Trojaner LOCKY nicht aus dem Internet nachgeladen und damit auch nicht gestartet werden. Demnach können auch keine Dateien verschlüsselt werden.

Lesen Sie auch weiter unten: » Welche Laufwerke werden von LOCKY angegriffen ? «

Eine Entschlüsselung der Dateien ist derzeit nur durch die LOCKY-Ersteller möglich und  selbst bei Bezahlung ungewiss und unsicher.

Wird LOCKY von einem Anti-Virus-Programm erkannt ?

Um der Erkennung durch ein Anti-Virus-Programm zu entgehen, ist der Krypto-Trojaner LOCKY mittels eines Crypter-Packers verschlüsselt. Erst nach dem Start der gepackten und verschlüsselten Datei entsteht so die ausführbare Datei, die den Schaden anrichten kann.

Weil sich mit einem Cypto-Packer aber leider sehr viele unterschiedliche Datei-Signaturen des damit gepackten Programms herstellen lassen, kann Ihr Anti-Viren-Programm erst nach der Entdeckung und der Aktualisierung der neuen Datei-Signatur den neu verpackten Krypto-Trojaner LOCKY erkennen – und das dauert in der Regel zumindest 24 Stunden.

Oder kurz: Ein Anti-Viren-Programm bietet einen unzureichenden Schutz gegen den Krypto-Trojaner LOCKY !

 

Welche Laufwerke werden von LOCKY angegriffen ?

  • alle lokale Festplatten
  • alle angeschlossene externe Festplatten
  • alle RAM-Laufwerke
  • alle verfügbaren Netzwerke-Laufwerke – besonders für alle Dateien  auf z.B.  Firmen-Netzwerk-Laufwerken sehr gefährlich !
  • alle eingebundene, lokale Laufwerke, wie z.B. TrueCrypt-Containerdateien etc.
  • alle eingebundene Cloud-Speicher, wie z.B. DropBox etc.

 

Welche Dateien werden von LOCKY verschlüsselt ? (Stand: März 2016)

.123 .fla .otg .svg
.3dm .flv .otp .swf
.3ds .frm .ots .sxc
.3g2 .gif .ott .sxd
.3gp .gpg .p12 .sxi
.602 .gz .PAQ .sxm
.7z .hwp .pas .sxw
.aes .ibd .pdf .tar
.ARC .jar .pem .tar.bz2
.asc .java .php .tbk
.asf .jpeg .pl .tgz
.asm .jpg .png .tif
.asp .js .pot .tiff
.avi .key .potm .txt
.bak .lay .potx .uop
.bat .lay6 .ppam .uot
.bmp .ldf .pps .vb
.brd .m3u .ppsm .vbs
.cgm .m4u .ppsx .vdi
.class .max .PPT .vmdk
.cmd .mdb .pptm .vmx
.cpp .mdf .pptx .vob
.crt .mid .psd .wav
.cs .mkv .qcow2 .wb2
.csr .mml .rar .wk1
.CSV .mov .raw .wks
.db .mp3 .rb .wma
.dbf .mp4 .RTF .wmv
.dch .mpeg .sch .xlc
.dif .mpg .sh .xlm
.dip .ms11 .sldm .XLS
.djv .ms11
(Security copy)
.sldx .xlsb
.djvu .MYD .slk .xlsm
.DOC .MYI .sql .xlsx
.docb .NEF .SQLITE3 .xlt
.docm .odb .SQLITEDB .xltm
.docx .odg .stc .xltx
.DOT .odp .std .xlw
.dotm .ods .sti .xml
.dotx .odt .stw .zip

 

Mit welcher Programmiersprache ist LOCKY realisiert worden ?

Experten sagen, daß der Krypto-Trojaner LOCKY teilweise mit VisualStudio C++, in der Sprache » C «  und auch in Assembler realisiert worden ist.

Deshalb werden nach dem Start von LOCKY die Dateien extrem schnell verschlüsselt.

 

Wie verschlüsselt LOCKY die Dateien ?

Der Krypto-Trojaner LOCKY verwendet die in Windows integrierte » CryptoAPI « mit 128-Bit AES im » cipher block chaining mode «.

Nach der Verschlüsselung werden die ursprünglichen Dateinamen durch eine  32-Zeichen lange Hexadezimalzahl ersetzt (damit also unleserlich gemacht) sowie die Endung » .locky « angehängt.

 

Wie läuft die Verschlüsselung der Dateien durch LOCKY ab ?

  • Ein 2048-Byte langer, öffentlicher RSA-Schlüssel wird von einem LOCKY-Server geladen
  • Mit diesem öffentlichen RSA-Schlüssel werden dann viele zufällig erzeugte, 128-Bit lange AES-Schlüssel wiederum verschlüsselt
  • Die Verschlüsselung der Dateien beginnt. Dabei wird der ursprüngliche Dateiname durch eine 32-Zeichen lange Hexadezimalzahl ersetzt (damit also unleserlich gemacht) sowie die Endung » .locky « angehängt.
  • Nach der Dateien-Verschlüsselung werden Informationen an einem LOCKY-Server zurück übertragen, ebenfalls verschlüsselt.
  • Anschließend wird der LOCKY-Hinweistext von einem LOCKY-Server aus dem Internet heruntergeladen, in ein Hintergrundbild umgewandelt und dieses auf Ihrem Rechner dauerhaft angezeigt.

 

Welche Registrierungsschlüssel werden von LOCKY erstellt ?

  • HKCU – Software – Microsoft – Windows – CurrentVersion – Run – Locky
    • Startet bei jedem Windows-Start den Krypto-Trojaner LOCKY; abgelegt und umbenannt als » C:\ User \ [IHR_USERNAME] \ AppData \ Local \ Temp \ svchost.exe «
  • HKCU – Software – Locky – id
    • individuelle, hexadezimale Kennung; 16 Byte lang
  • HKCU – Software – Locky – pubkey
    • Öffentlicher Schlüssel, mit der die Dateien verschlüsselt wurden. HINWEIS: Zum Entschlüsseln ist der zweite, geheime Schlüssel notwendig.
  • HKCU – Software – Locky – paytext
    • Textnachricht
  • HKCU– Control Panel – Desktop – Wallpaper
    • Zeigt den Hinweistext von LOCKY als Hintergrundbild an; » %User Profile% \ Desktop_Locky_recover_instructions.bmp «

 

Gib deine E-Mail-Adresse ein, um diesem Blog zu folgen und per E-Mail Benachrichtigungen über neue Beiträge zu erhalten.

%d Bloggern gefällt das: