Locky Trojaner ist der Name einer Schadsoftware für Mac OS und MS Windows, die in den meisten Ländern der Welt vorkommt. Besonders in Deutschland macht sie stark die Runde. Der Locky Trojaner verschlüsselt die Nutzerdaten (Dateien) der infizierten Computer sowie Server und anschließend wird hier ein Lösegeld gefordert.
Locky Trojaner – Wie Funktioniert er?
Der Locky Trojaner verschlüsselt alle Nutzerdaten auf einem infizierten Computer. Die verschlüsselten Daten haben danach die Endung .locky, weswegen er auch so benannt wurde. Anschließend erscheint eine Nachricht auf dem Monitor, die dem Benutzer mitteilt, dass die Dateien mit einem RSA Kryptoschlüssel verschlüsselt wurden. Im Erpresserbrief befinden sich dann ein Tor Zugang und mehrere Links, auf denen man erfährt, dass gegen Bezahlung in Form von Bitcoins ein Decryptor zur Entschlüsselung der Daten erworben werden kann. Die Entschlüsselung der Daten ist nach Bezahlung dennoch nicht garantiert.
Locky Trojaner – Wie verbreitet er sich?
Die Verbreitung des Locky Trojaner erfolgt großteils als Anhang per Mail. Diese E-Mails sind oft als Rechnung oder Bewerbung getarnt. Wenn man ein solches Dokument öffnet, wird man gebeten, das hinterlegte Makro anzuwenden, um das Dokument korrekt darstellen zu können. Der Locky Trojaner konnte sich auf diese Weise allein in Deutschland in wenigen Tagen im Februar 2016 schnell ausbreiten und rund 16500 Computer an einem Tag infizieren.
Ende Februar 2016 kamen Meldungen, dass der Locky Trojaner auch als komprimierte JavaScript-Datei in Mails verschickt wird. Diese wurden auch als Rechnung oder Bewerbung getarnt. Die JavaScript-Datei hat unter anderen folgende Bezeichnung: Bewerbung.pdf.js (.js wird allerdings nur angezeigt, wenn dies unter Windows so eingestellt wird – nicht Standard).
Kurz darauf kamen noch andere Verbreitungsmöglichkeiten dazu, wie vorgetäuschte Scanner-Mails (scan@eigene.domain), sowie die Verteilung von Batchdateien die bei einem Klick auf einen Link heruntergeladen und automatisch ausgeführt wurden.
Anschließend wurden dann auch Mails vom Bundeskriminalamt vorgetäuscht und verteilt, welche angeblich eine Locky Trojaner Removal Software enthalten und öfters den Betreff Whitehouse paperwork haben.
Gegen Ende Juni 2016 und einigen Wochen Ruhe kamen dann wieder gefälschte Mails, die im Betreff Bewerbung und Mahnung hatten. Die Mails hatten im Anhang eine Zip-Datei mit einem Word Dokument, welches mit Makros und einer Routine über den Windows Script Host arbeitet und ausführt. Diese Version ist auch in der Lage, Antivirenprogramme und deren Virtualisierung zu erkennen.
Locky Trojaner – Was mache ich nach der Infizierung, wie rette ich meine Daten?
Hier gehen die Meinungen der Länder auseinander. Das BSI (deutsches Bundesamt für Sicherheit) riet den Betroffenen keine Zahlung zu tätigen, da es keine Garantie gibt, dass die Daten wieder entschlüsselt werden. In den USA hat das FBI den Betroffenen geraten das Lösegeld zu bezahlen, da es keinen anderen Weg gibt, die Daten wieder zu entschlüsseln.
Die verschlüsselten Dateien sollten aber auf jeden Fall aufbewahrt werden, da es durchaus sein kann, dass es in absehbarer Zeit gelingt, die Verschlüsselung rückgängig zu machen und die Daten wiederherzustellen.
Nach einer Infizierung sollte man dennoch eine Anzeige bei der Polizei erstatten.
Zur Bereinigung des Computers hilft dann meistens nur ein komplettes Formatieren und neu Installieren des Betriebssystems, um die komplette Entfernung des Locky Trojaner zu garantieren.
Anschließend können Sie Ihre Daten dann über ein nicht befallenes Back-up wiederherstellen.