Verschlüsselungs- und Erpressungstrojaner LOCKY (Ransomware)

Im heutigen Blogeintrag widmen wir uns einem Thema, über das schon seit einigen Tagen verstärkt in der Presse zu lesen ist: Dem Verschlüsselungs- und Erpressungstrojaner LOCKY. Wir werden kurz auf die Infizierungswege, Möglichkeiten des Schutzes und die Optionen der Beseitigung eingehen. Auf der Homepage des BSI (Bundesamt für Sicherheit in der Informationstechnik) sind zu diesem Thema zahlreiche Pressemeldungen zu finden.

Das Haupteinfallstor für die Schadsoftware Locky sind SPAM-Emails, die mittlerweile sehr gut als Rechnungen, Angebote und Zahlungserinnerungen getarnt sind. Im Anhang dieser E-Mails befindet sich meist ein Zip-Archiv mit einem darin enthaltenen Word- oder Excel-Dokument. Gelegentlich ist das Dokument auch direkt angehängt. Im Wikipedia-Artikel sind hierzu ausführliche Informationen zu finden.
Öffnet man diese E-Mail, passiert zunächst nichts. Erst ein Öffnen des angehängten Dokuments und die Ausführung der Makros führt die Schadsoftware aus. Hier sei angemerkt, das wir aktuell von einem Ausführen von Makros innerhalb von Office abraten, denn auch eine offizielle Quelle kann infiziert sein.
Ist der Virus erst einmal aktiv, scannt der befallene Rechner das komplette Netzwerk nach Daten auf die er Zugriffsrechte hat und verschlüsselt sämtliche Dokumente, E-Mail-Archive und Textdateien. Diese Dateien sind daran zu erkennen, dass die Endung „.locky“ lautet und eine Textdatei mit Zahlungsinformationen abgelegt ist.

Ein effektiver Schutz ist relativ einfach: Sämtliche E-Mails mit zweifelhaften Anhängen, gar nicht öffnen – besteht eine Unsicherheit, existiert die Möglichkeit den Anhang bei Virus-Total hochzuladen, der dort auf Schadsoftware gescannt wird. Aber Vorsicht, möglicherweise ist eine Variation des Virus im Anhang, den die dort verwendeten Virenscanner (noch) nicht erkennen.

Ist der Rechner und somit das Netzwerk befallen, ist unser Ratschlag: Alle Computer und Server vom Netzwerk trennen, den Verursacher-Computer finden, alle weiteren Rechner mit entsprechender Software (wir empfehlen dafür Malwarebytes Anti-Malware ) scannen und sobald dies geschehen ist, die Daten aus einem Backup wiederherstellen. Eine Wiederherstellung der verschlüsselten Daten ist ohne Bezahlung der Erpresser nicht möglich – hiervon raten wir in jedem Fall ab.

Es zeigt sich ein weiteres Mal, dass ein durchdachtes Datensicherungskonzept unumgänglich ist; Sind nämlich die Backupgeräte nicht ausreichend zugriffsgesichert, verschlüsselt Locky auch die darauf enthaltenen Backups!
Wichtig ist noch zu erwähnen, dass Apple-Computer (die sonst als sehr sicher und unverwüstlich gegenüber Viren gelten) ebenfalls betroffen sein können (http://www.macwelt.de/news/Erste-Ransomware-fuer-den-Mac-aufgetaucht-9942782.html)

Haben Sie noch weitere Fragen oder sollte Ihr Netzwerk, Ihr Computer bzw. Ihre Daten von Locky befallen sein, können Sie uns jederzeit kontaktieren.

Erfahrungen mit der OS-X-Server-App

Bei einem Kunden mit insgesamt 15 Computerarbeitsplätzen sollte eine Client/Server-Umgebung auf Apple-Basis geschaffen werden. Zu Beginn des Projektes fanden wir bei unserem Kunden eine reine Mac-Umgebung (Mac Mini, Macbook, iMac) vor. Die Daten wurden zentral auf einem QNAP NAS gespeichert. Die Benutzer waren in einer simplen Rechtestruktur lokal auf dem QNAP NAS angelegt.

Da der Kunde eine Client/Server Software benötigte deren Serverkomponente ein Apple-Betriebssystem voraussetzt, wurde hierfür ein Mac Pro (2014) angeschafft. Über einen weiteren Mac Pro sollte mit Hilfe der OS-X-Server-App für Mavericks eine Benutzerverwaltung sowie Netzlaufwerke mit einer Berechtigungsstruktur nachgerüstet werden. Die technischen Informationen rund um die OS-X-Server-App bestätigten alle Anforderungen. Als Datenspeicher wurde neben den beiden Mac Pro zudem ein 4-Bay Thunderbolt Storage System von Apple angeschafft.

In der Praxis stellte sich die Umstellung leider problematischer dar als zunächst erwartet. Konkret ergaben sich folgende Probleme:

  • Nach dem Anlegen der Benutzer konnten sich diese nicht authentifizieren/anmelden
  • Es war möglich Freigaben anzulegen, es konnte allerdings kein Benutzer darauf zugreifen
  • Berechtigungen auf die Freigaben konnten gesetzt werden, sie wurden aber nicht übernommen

Das einzige Feature, das zuverlässig funktionierte, war der DHCP-Server. Selbst der DNS-Server funktionierte nicht wie gewünscht.

Im Apple-Support-Forum fanden sich viele Beiträge zu dieser Problematik (https://discussions.apple.com/thread/5509703?tstart=0).

Auch der Support seitens Apple und die mehrmalige Neuinstallation des kompletten Mac Pro führten nicht dazu, die gewünschten Funktionen in Betrieb nehmen zu können.

Aufgrund der beschriebenen Fehlfunktionen, wurde letztendlich auf die OS-X-Server-App verzichtet. Es wurden alle Benutzer lokal auf dem Mac Pro mit dem angeschlossenen Storage-System angelegt und die Berechtigungen mit den lokalen Benutzern gesetzt. DNS und DHCP wurden auf dem Router eingerichtet.

In der Praxis zeigte sich in der Folgezeit bisher lediglich ein erwähnenswertes Problem: Berechtigungen können zwar über die GUI in OS X für die freigegebenen Ordner vergeben werden, sie werden allerdings nicht vererbt. Möchte man dies tun, muss man mittels dem Befehl

sudo chmod +a „user:USERNAME allow list, add_file, search, add_subdirectory, delete_child, readattr, writeattr, readextattr, writeextattr, readsecurity, file_inherit, directory_inherit“ /Volumes/PromiseRAID/Freigabe

die Berechtigungen über das Terminal für jede Freigabe / jeden Benutzer händisch setzen. Bei entsprechender Menge der vorhandenen User oder einer größeren Komplexität, handelt es sich hierbei um einen nicht zu unterschätzenden Aufwand.