Verschlüsselungstrojaner Locky verbreitet sich über Fake-Mails

Eine aktuelle und dringende Warnung: Bereits am 19.02.2016 erreichte mich eine (angebliche) Mail der „LFW Ludwigsluster Fleisch- und Wurstspezialitäten“, im Anhang eine angeblich zu korrigierende Rechnung. Tatsächlich steckt dahinter der durchaus bedrohliche und zunehmend verbreitete Locky-Virus – ein kurzer Überblick.

Bildschirmfoto 2016-02-23 um 05.23.36

Die Mail fällt vor allem wegen einem ins Auge: Die sprachliche Gestaltung ist so gut gewählt, dass es nicht wie die üblichen Mails direkt ins Auge springt. Allerdings gibt es gleichwohl genügend Anlass zur Skepsis: Angefangen damit, dass man wissen sollte, ob man einem solchen Unternehmen eine zu korrigierende Rechnung gestellt hat. Abgesehen davon sind ZIP-Anhänge in Mails per se eher mit Skepsis zu sehen und zu guter Letzt: Eine Javascript Datei ist vieles, aber keine Rechnung.

Ich hatte seinerzeit sofort den vermeintlichen Absender sowie ausgewählte Presseportale informiert. Inzwischen gibt es fundierte Berichte dazu, das Javascript lädt den Locky-Trojaner, der die Festplatte verschlüsselt und zur Zahlung auffordert.

Bildschirmfoto 2016-02-23 um 05.25.11

Das Javascript ist dabei so verfasst, dass man es nicht ohne erheblichen Zeitaufwand verstehen kann, gleichwohl springt relativ schnell ins Auge, dass am Ende ein wie auch immer gearteter Download ausgeführt wird.

Es verbleibt bei den üblichen Ratschlägen: Denken bevor man klickt, bei Mails von Fremden argwöhnisch sein und insbesondere bei Anhängen aufpassen. Während ZIP generell skeptisch zu sehen ist, darf man auch bei anderen Anhängen nicht arglos werden: Es sind sowohl für Word als auch für PDF Makro- bzw. Skript-Trojaner bekannt, theoretisch kann hinter jedem Anhang ein Schadcode stehen. Nachdem inzwischen auch Webseiten den Schadcode verbreiten sollen, sollte man vorsichtig sein.

Auch bei vermeintlich bekannten Absendern denken Sie daran, dass die in Ihrem Mailprogramm angezeigte Mailadresse keineswegs der echte Absender sein muss. Es ist problemlos möglich, eine Mail als jemand zu Kennzeichnen der sie tatsächlich nicht verschickt hat. Stellen Sie es sich so vor, als würde Ihnen jemand einen Brief schicken, aber auf den Umschlag einfach eine andere Person aufschreiben – technisch ist es (fast) genauso einfach. Virenscanner sind dabei nur bedingt hilfreich, da diese bei einem externen Download frühestens im Moment des Downloads anschlagen werden und auch dann wohl nur, wenn die Download-Datei zumindest als Signatur bekannt ist.

Ebenfalls Vorsichtig sind Sie mit Rückschlüssen: Bei Locky handelt es sich um einen Windows-Trojaner, dennoch sind Mac-Systeme nicht per se „absolut sicher“. Spätestens wenn man Windows in einer virtuellen Umgebung laufen hat die Zugriff auf das Mac-Dateisystem hat sollte man prüfen, wie die eigenen Sicherheitsrichtlinien eingestellt sind (grundsätzlich sollte man nicht „blind“ seinem emulierten System Zugriff auf relevante Bereiche des Wirt-Systems geben).

Die Lösung ist relativ überschaubar: halten Sie Ihre Backups aktuell und getrennt von laufenden Systemen. Grundsätzlich mag man sich als Unternehmen auch über eine IT-Haftpflicht informieren, allerdings ist sinnvoll vorher zu klären, ob die versehentliche Installation von jedenfalls gut getarntem Schadcode wirklich abgedeckt ist. Fraglich aber auch, wie diese helfen soll, wenn die wertvollen Daten verschlüsselt sind. 

Fachanwalt für IT-Recht Jens Ferner