Krypto-Trojaner Locky infizierte viele Rechner und Netzlaufwerke

Eines vorab: F-Secure Kunden sind vor dem aggresiven Trojaner 'Locky' geschützt.

Verfasser: Berk Kutsal
Datum: 22. Februar 2016
Lesedauer: 4 Minuten

Eine neue Ransomware, die nach einem inzwischen alten Geschäftsmodell arbeitet, ist vor einigen Tagen aufgetaucht: Locky. Kurz gesagt, Locky verschlüsselt Dateien, um dann Lösegeld in Form von Bitcoins zu erpressen. Auch wenn solche Malware schon seit Jahren bekannt und auch vermehrt zu sehen ist, ist Locky dennoch besonders und infizierte bereits viele Rechner und Netzwerke seit ihres Ausbruchs.Site

Bin ich geschützt?

F-Secure erkennt Locky schon immer. „Immer“ heißt in diesem Zusammenhang, dass wir eine Erkennung über unsere Engines und DeepGuard hatten, bevor das Schadprogramm zum ersten Mal aufgetaucht ist. F-Secure Kunden waren und sind somit geschützt, unabhängig davon welches F-Secure Produkt sie einsetzen.

Der Trojaner wird bei F-Secure mit folgenden Namen erkannt:

Doc Files:
Trojan:W97M/MaliciousMacro.GEN
Trojan-Downloader:W97M/Dridex.R

DeepGuard Detections:
Trojan-Dropper:W32/Agent.D!DeepGuard
Trojan:W32/Pietso.A!DeepGuard
Trojan:W32/TeslaCrypt.PE!DeepGuard

Verbreitungswege

Locky verbreitet sich über gefälschte Rechnungen im .docx Format, welche per Email an die Opfer versandt werden. Der Betreff der Email ist etwas wie „ATTN: Invoice J-98223146“. Im Word-Dokument selbst steckt ein schadhaftes Makro, welches nach Aktivierung des Benutzers ein ausführbares Programm herunterlädt und dieses startet.

Das Programm ist für die Verschlüsselung zuständig und wird nach %temp% gespeichert.

Der Schadcode

Nachdem das heruntergeladene Programm ausgeführt wurde, ändert Locky die Dateinamen und verschlüsselt mit einem AES-Algorithmus die Daten mit folgenden Erweiterungen:

.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

Damit das Betriebssystem aber nach der Verschlüsselung noch gestartet werden kann, werden Dateien mit diesen Folgen im Namen übersprungen:

tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows

Außerdem werden die „Shadow Volume Copies“ gelöscht, damit das Opfer seine Dateien nicht darüber wiederherstellen kann. Locky führt dazu diesen Befehl aus:

vssadmin.exe Delete Shadows /All /Quiet

Der Trojaner verschlüsselt nicht nur lokale Dateien, sondern auch Netzlaufwerke. Selbst wenn diese nicht als lokales Laufwerk verbunden sind.

Damit das Opfer weiß, was zu tun ist, ändert die Malware das Hintergrundbild und legt auf dem Desktop eine Info-Datei mit den Namen _Locky_recover_instructions.txt ab.

Screenshot Locky

Dateien:

%UserpProfile%Desktop_Locky_recover_instructions.bmp
%UserpProfile%Desktop_Locky_recover_instructions.txt
%Temp%[zufälliger Name].exe

Änderungen an der Registry:

HKCUSoftwareLockyid –  Eine eindeutige ID um das Opfer zu identifizieren
HKCUSoftwareLockypubkey – Der öffentlichen RSA Schlüssel
HKCUSoftwareLockypaytext – Der Text aus _Locky_recover_instructions.txt
HKCUSoftwareLockycompleted    – Status der Verschlüsselung
HKCUControl PanelDesktopWallpaper – Hintergrundbild

In der Nachricht des Trojaners befindet sich ein Link zur „Locky Decrypter Page“, auf der das Opfer Informationen zur Entschlüsselung findet. So zum Beispiel die Info, wie viele Bitcoins er/sie zu zahlen hat, und woher diese bezogen werden können.

Schutzmaßnahmen

  1. Backup
    Ein aktuelles Backup aller relevanter Daten sollte unabhängig von der Locky-Welle Pflicht sein. Die Priorität eines solchen steigt aber stark an, da es ohne Backup keine Möglichkeit gibt, wieder an die verschlüsselten Daten zu kommen. Eine Entschlüsselung (ohne das Erpressungsgeld zu zahlen) ist derzeit nicht möglich!Möglicherweise müssen diverse Backupstrategien neu überdacht werden, denn durch die Verschlüsselung von Netzlaufwerken sind gegebenenfalls auch Backups betroffen. Ebenso Online-Backups, welche sich über einen Ordner in die Verzeichnisstruktur integrieren. Kein Backup-Datenträger, der dauerhaft mit dem System verbunden ist, eignet sich als Schutz vor Locky.
  1. Patches
    Neben dem Betriebssystem müssen auch sämtliche Programme und Plugins aktuell gehalten werden. Ist das System aktuell, können die meisten Trojaner nichts mehr ausrichten.
  1. Aktueller Virenschutz
    Ein aktueller Virenschutz mit einer verhaltensbasierten Scann-Methode schützt das System auch vor noch unbekannten Eindringlingen.
  1. Schulungen
    Mitarbeiter müssen auf diese Art von Gefahren geschult werden. Beispielsweise muss man erklären, dass man auf Anhänge von unbekannten Personen nicht klicken darf.
  1. Office Makros Deaktivieren
    Die Ausführung von Office Makros sollte nur nach erneuter Bestätigung durch den Anwender erlaubt werden.
  1. Email-Gateway
    Erlaubt es das tägliche Geschäft, ist zu überlegen, ob man zumindest temporär Office-Dokumente am Email-Server schon abweist.

 

 


Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s