Hessische Polizei - Polizeiautos
 
08.07.2016

Erpressungswelle durch Verschlüsselungstrojaner (Variante Locky)!

Vorsicht vor Trojaner in E-Mail
Die Absender klingen vertrauenswürdig, da die Kriminellen die E-Mail-Adressen großer deutscher Internetprovider nutzen. Häufig wird auf die angeblichen Bewerbungsunterlagen im Anhang oder in einem Cloud-Speicher verwiesen. Ebenfalls verbreiten sie gefälschte Rechnungs-E-Mails, die ein zip-Archiv als Anlage mitbringen.

Da die E-Mails keine Rechtschreib- oder Grammatikfehler enthalten, sind sie nicht auf den ersten Blick als Fälschung zu erkennen. Weiterhin befinden sich teilweise sogar Fotos der angeblichen Bewerber in der E-Mail bzw. dem Cloud-Dienst.

Der Verschlüsselungsprozess wird durch das Öffnen des Anhangs oder der heruntergeladenen Datei aus dem Cloud-Dienst ausgelöst.

Hierbei handelt es sich z. B. um zip-Archive (mit exe-, cmd-, com-Dateiendungen), Worddateien mit gefährlichen Makroinhalten oder sog. JavaScript-Dateien mit der Datei-Endung .js.

Als Folge des Öffnungsprozesses werden  sämtliche Dateien in einem Hintergrundprozess verschlüsselt. Dieser Prozess bleibt unbemerkt, bis die Verschlüsselung abgeschlossen ist. Eine neue Funktionalität von Locky ermöglicht die Erkennung von virtuellen Maschinen.

Im weiteren Verlauf wird dem Opfer nach erfolgter Verschlüsselung sämtlicher Daten (auf dem lokalen PC, bei angeschlossenen und eingeschalteten USB-Festplatten, eingebundenen Netzwerklaufwerk (NAS)) eine Lösegeldforderung angezeigt.

Um den Zugriff auf die eigenen Daten wieder zu erlangen, soll ein Lösegeld von 0,3 bis 2 Bitcoins (aktueller Gegenwert etwa ca. 250 - 1200€) bezahlt werden. Die Bezahlung erfolgt häufig über eine individuelle Bitcoin-Adresse anonym über das Tor-Netzwerk.

Aus diesem Grund gilt immer der Hinweis, dass Anhänge und Links von unbekannten Absendern auf Plausibilität geprüft werden sollten.  Auf keinen Fall sollten unbekannte Dateianhänge geöffnet werden. Zudem sollte jeder Internetnutzer sein System auf einem aktuellen Stand halten und eine ordentliche Antivirensoftware verwenden.

Als weiterer Schutz ist ein tagesaktuelles Backup empfehlenswert, wobei der Zugriff auf das Backup-Speichermedium (z.B. externe Festplatte, NAS) nur beim Backup vorgenommen werden sollte. Ansonsten ist eine Trennung vom PC ein wesentlicher Schutzmechanismus.

Informationen über die Bedrohungslage und den Schutz vor Ransomware finden sie auch auf der Seite des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für Bürger unter www.bsi-fuer-buerger.de.

Ergänzende Informationen rund um das Thema Sicherheit im Internet erhalten Sie auch unter www.polizei.hessen.de, www.polizei-beratung.de und www.polizei-praevention.de.