Locky, der Trojaner: Wie schütze ich mich?

it-sicherheit 56
Fachbeitrag

Immer wieder schaffen es Trojaner in die Schlagzeilen, obwohl die Verbreitung von Malware-Scannern so weit verbreitet ist, wie noch nie zu vor. Doch immer neue, sich schnellverbreitende Exemplare, können großen Schaden anrichten, bevor diese überhaupt den einzelnen Scannern bekannt sind. Was Trojaner sind und wie man sich schützt, erfahren Sie in diesem Beitrag.

Was ist ein Trojaner?

„Ein Trojaner ist ein Programm, das vorgibt, eine wünschenswerte oder notwendige Funktion auszuführen und dies möglicherweise auch tut, aber außerdem eine oder mehrere Funktionen ausführt, die die Person, die das Programm ausführt, weder erwartet noch wünscht.“

So beschrieb Dan Edwards im Jahre 1972 zum ersten Mal einen Trojaner.

Nimmt man diese sehr allgemeine Definition, so kann man auch den derzeit bekanntesten Vertreter dieser Gattung – Locky – darunter subsumieren. Dieser tarnt sich dieser Tage als Rechnung, Mahnung oder Faxanhang, die per E-Mail zugesandt wurde. Aber auch als E-Mail des BKA hat er es bereits geschafft sich Zugang zu einzelnen Rechnern und Netzwerken zu verschaffen.

Was machen Trojaner?

Da Trojaner im Endeffekt eigene Programme sind, können sie theoretisch alles wozu sie programmiert wurden. Hierzu zählt zum einen die Deaktivierung von Firewalls, Virenscannern oder anderen Sicherungssystemen. Denkbar ist auch die Installation eines Keyloggers zum Protokollieren von Tastatureingaben oder dem Versuch ein Backdoor zu installieren. Desweiteren kann der Trojaner darauf abzielen den befallenen PC in ein fernsteuerbares „Botnet“ zu integrieren, um zusammen mit anderen befallenen Systemen Spam zu versenden oder DoS-Angriffe (Denial-of-Service) durchzuführen.

Locky, der etwas andere Trojaner

Locky verhält sich hier anders als herkömmliche Trojaner, da er nicht still und heimlich im Hintergrund weiterläuft, sondern darauf abzielt das infizierte System lahm zu legen und für dessen Reaktivierung Lösegeld zu erpressen. Hierzu verschlüsselt Locky wichtige Dateien mit einem RSA-Kryptoschlüssel nach dem AES-Standard und kennzeichnet die Dateien mit der Endung .locky, welcher er schließlich seinen Namen verdankt.

Somit reiht er sich in die Gruppe der Verschlüsslungs-Trojaner, sog. Ransomware, ein. Mit Nachricht auf dem Bildschirm informiert er schließlich den PC-Nutzer über die vorgenommene Verschlüsselung und nennt mehrere Internetadressen von Webseiten, wo man gegen Zahlung einer Geldsumme ein Tool zum Entschlüsseln der Dateien erwerben kann.

Wie funktionieren Trojaner?

Trojaner kopieren sich nicht in Programme oder andere Dateien hinein, deshalb müssen sie sich zum Überleben im System verankern, dass sie beim Hochfahren des Systems oder bei der Anmeldung eines Benutzers gestartet werden. Dies schafft der Trojaner meist durch einen Eintrag in die Listen der beim Booten oder einer Anmeldung gestarteten Programme.

Viele Trojaner kommen als Paket, bestehend aus Servermodul (das unbemerkt auf den Rechner des Opfers gelangt), einem Clientmodul (mit dem das Servermodul ferngesteuert wird) und Editmodul, mit dem man das Servermodul generiert (falls dies nicht vom Clientmodul erledigt wird).

  • Der Server ermöglicht die Fernsteuerung eines fremden Rechners durch eine Verbindung mittels IP-Adresse mit dem Clientmodul.
  • Der Client ermöglicht dem Angreifer die Steuerung des Servers von seinem PC aus. Die verwendeten Funktionen hängen von dem Trojaner ab.

Wie verbreiten sich Trojaner?

Die Arten der Verbreitung kann man in zwei Kategorien unterteilen. Verbreitung durch den User und Verbreitung durch den unerlaubten Zugriff.

  • In der ersten Kategorie wird der Trojaner einfach dem Nutzer „angeboten“, sei es durch Webseiten, E-Mail oder sonstige Dateiübertragungsinstanzen. Den Rest übernimmt der User selbst, er entscheidet, ob er die Datei auf seinen Rechner holt und ausführt.
  • Die andere Kategorie beinhaltet Verbreitungsarten, die keine User-Aktion voraussetzen. Hier ist es allein der Angreifer, der einen Trojaner auf dem Opfer-PC platziert und ausführt, indem er sich unerlaubten Zugang zum System verschafft.

Wie verbreitet sich Locky?

Locky ist zwar schlau und bedient er sich der Kombination aus beiden Methoden, gleichwohl ist für die initiale Ausführung jeweils eine User-Interaktion notwendig. Folglich muss Locky zunächst auf dem infizierten Rechner ausgeführt werden. Anschließendund verbreitet er sich selbstständig über das lokale Netzwerk an alle damit verbundenen Rechner, ohne dass dort eine weitere Eingabe notwendig ist.

Ich habe Locky, was nun?

Durch die Infizierung mit Locky werden die wichtigsten Dateien mit einem RSA-Kryptoschlüssel nach dem AES-Standard verschlüsselt. Eine Entschlüsselung ist nur mit entsprechendem Kryptoschlüssel wieder möglich. Den Kryptoschlüssel mit Hilfe einer Brute-Force-Attacke zu entschlüsseln wird nahezu unmöglich oder zumindest nicht in absehbarer Zeit machbar sein.

Aus diesem Grund ist die einzige Möglichkeit, das infizierte System zu formatieren und ein zuvor erstelltes Backup wieder einzuspielen.

Wie schütze ich mich generell?

Das Bundesamt für Sicherheit und Informationstechnik empfiehlt grundlegende präventive Schutzmaßnahmen gegen die Auswirkungen einer Ransomware-Infektion:

  1. Sichern Sie regelmäßig Ihre Daten auf ein externes Speichermedium, beispielsweise eine USB-Festplatte, einen USB-Speicherstick oder einen vertrauenswürdigen Cloud-Speicher.
  2. Viele Verschlüsselungstrojaner können auch Daten auf externen Laufwerken und Netzlaufwerken unbrauchbar machen. Verbinden Sie deshalb das Speichermedium für Ihre Datensicherungen nicht dauerhaft mit Ihrem Computer.
  3. Bewahren Sie ihre Datensicherung getrennt von Ihrem Computer an einem geschützten Ort auf. Wenn Sie Cloud-Dienste für die Datensicherung verwenden möchten, informieren Sie sich, welchen Schutz Ihrer Daten (Transportverschlüsselung, verschlüsselte Ablage) der Cloud-Betreiber gewährleistet.
  4. Prüfen Sie anhand einiger ausgewählter Dateien, ob sich die gesicherten Daten auch tatsächlich wiederherstellen lassen.

Vor allgemeinen Trojanern schützen sie sich mit Altbewährtem:

  1. Installieren Sie regelmäßig Sicherheitsupdates ihres Betriebssystems.
  2. Verwenden Sie stets aktuelle Virenschutzprogramme und halten sie diese auf aktuellem Stand.
  3. Nutzen Sie eine Personal Firewall.
  4. Nutzen Sie für den Zugriff auf das Internet ausschließlich ein Benutzerkonto mit eingeschränkten Rechten, keinesfalls ein Administrator-Konto.
  5. Klicken Sie nicht auf jeden Link oder jeden Dateianhang – öffnen Sie nur Anhänge von vertrauenswürdigen Personen und verifizieren Sie diese ggf. im Vorfeld.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Aufbau, Optimierung und Überprüfung der IT-Sicherheit nach anerkannten Standards
  • Vorbereitung auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz
  • Stellung von externen IT-Sicherheitsbeauftragten

Informieren Sie sich hier über unser Leistungsspektrum: IT-Sicherheit

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.