EU-Datenschutzrichtlinie: Diese Website verwendet Cookies, um Authentifizierung, Navigation und andere Funktionen zu verwalten.
Durch die Nutzung unserer Website stimmen Sie zu, dass wir diese Arten von Cookies auf Ihrem Gerät platzieren können.

Viren

 

In diversen Pressemitteilungen wurde bereits mehrfach auf den Trojaner "Locky" aufmerksam gemacht. Nach Prüfung in unserem Versuchslabor haben wir festgestellt, dass der Trojaner mittlerweile in verschiedensten "Mutationen" auftritt und dadurch mit den handelsüblichen Security-Lösungen (McAfee, Symantec, ESET, usw.) nicht vollständig erkennbar ist. Dadurch kann er seine Wirkung frei entfalten. In einschlägigen Foren gibt es dazu zahlreiche Publikationen bzw. Hinweise.

 

Wirkungsweise des Trojaners "Locky" und seine Mutationen:
Sobald das Schadprogramm gestartet wurde, verschlüsselt es Dateien. Die Verschlüsselung kann nicht rückgängig gemacht werden, d. h. der Inhalt ist nicht mehr nutzbar und somit zerstört. Gelegentlich wird darauf hingewiesen, dass man sich für die Entschlüsselung freikaufen kann. Davon raten wir definitiv ab.

Was ist bei Befall zu tun?
1. Alle Mitarbeiter müssen sofort die Arbeit am PC einstellen und sich am besten ausloggen und den PC ausschalten
2. Der Administrator muss die Infektionsverbreitung analysieren
3. Der Administrator muss die infizierten Dateien in ein gesperrtes Verzeichnis verschieben
4. Der Administrator muss die letzte Datensicherung einspielen
5. Falls ein Terminalserver betroffen ist, so muss der Administrator folgendes durchführen:
    a) Falls der Terminalserver virtualisiert ist: letzten Snapshot einspielen oder vorliegendes Image einspielen und evtl. Nacharbeiten durchführen
    b) Falls der Terminalserver physisch installiert ist: den gespeicherten Terminalserver komplett rücksichern oder neu installieren

Wie kommen der Trojaner "Locky" und seine Mutationen ins Netzwerk?
1. Per E-Mail mit HTML-basiertem Text: Im HTML-Code versteckt sich der Trojaner und wird von der Security-Lösung nicht erkannt
2. Per E-Mail mit "gefälschtem" Anhang: Die Endung der Datei ist dann: Dateiname.pdf.exe oder Dateiname.doc.exe. Auf den ersten Blick sieht der Anhang wie eine PDF- oder Worddatei aus
3. Benutzer besuchen offizielle Internetseiten, die gehackt sind
4. Benutzer benutzen für private Zwecke webmail-Systeme über zum Beispiel: gmx, yahoo, 1&1 und öffnen darin unbeabsichtigt eine gefährliche E-Mail
5. Benutzer verwenden USB-Medien: USB-Sticks, USB-Festplatten, USB-Kameras, die bereits infiziert sind und verbinden diese mit dem PC und somit Firmennetzwerk

Welche Maßnahmen können die Gefahr reduzieren?
1. Informieren Sie sämtliche Mitarbeiter, die an einem PC im Unternehmen arbeiten, dass sie zweifelhafte E-Mails nicht öffnen und ggf. den Administrator informieren
Dadurch sind Ihre Mitarbeiter sensibilisiert.
2. Schränken Sie die private Nutzung des Internets währen der Arbeits- und Pausenzeiten ein, oder verbieten Sie dies:
Hierbei ist es sinnvoll eine Betriebsvereinbarung von jedem Mitarbeiter unterschreiben zu lassen.
3. Setzen Sie einen sogenannten Proxy-Server ein, um die Internetnutzung für Mitarbeiter oder Mitarbeitergruppen auch technisch einzuschränken
4. Bei Datensicherungsmedien auf USB empfehlen wir die Verwendung eines separaten BACKUP-Serversystems, da bei Befall sonst evtl. unbemerkt die Datensicherung beschädigt werden kann.
5. Stellen Sie sicher, dass jeden Tag eine Datensicherung durchgeführt wird.
   - lassen Sie die Durchführung der Datensicherung protokollieren (Datum / Unterschrift)
   - es sollten wechselnde Datensicherungsmedien verwendet werden (Montag, Dienstag, usw.)
   - das Datensicherungsmedium sollte darüber hinaus an einem physisch getrennten Ort gelagert werden
6. Führen Sie eine restriktivere Rechteverwaltung ein, so dass nicht jeder Mitarbeiter auf alle Daten Zugriff hat
7. Falls Sie noch PCs mit Windows XP im Einsatz haben, müssen diese auf aktuelle Betriebssysteme (Windows 7 oder 10) umgestellt werden
8. Falls Sie noch Server mit älteren Betriebssystemen im Einsatz haben (Windows NT, Windows 2003, Windows 2008R0), empfiehlt sich die Aktualisierung, da die neuen Betriebssysteme (MS Windows 2012) einen höheren Schutzmechanismus haben
9. Reduktion der Wiederherstellungsdauer und somit der Zeit der Betriebsunterbrechung und des Datenverlust durch Einführung des Replikationskonzepts von MS Windows 2012
Hierbei Ausweitung der Snapshot-Anzahl, um möglichst den Zustand genau vor dem Start des Angriffs wiederherstellen zu können.
10. Aktualisierung der Security-Lösung
11. Virtualisierungskonzept (1): Trennung des Domänencontrollers von Fileserver und übrigen Diensten, so dass bei einem Angriff nicht die Domäneninformation beschädigt wird
12. Virtualisierungskonzept (2): Trennung diverser Funktionseinheiten in virtuelle Server, so dass ein Angriff sich nur partiell auswirken kann
13. Kontrollierte Handhabung von USB-Medien: Erweiterung der Security-Lösung mit Funktionen zur Kontrolle definierter Wechselmedien
(z. B. McAfee Device Control)

Bei Fragen stehen wir Ihnen gerne zur Verfügung.
Kontakt



Autorin: Daniela Bart

 zurück