Verschlüsselungstrojaner – Locky Sprössling Bart

“Nun haben wir die Stelle schon seit einigen Monaten ausgeschrieben, aber niemand bewirbt sich”, wundert sich der Chef der IT Administration. Irgendwann ist es aber soweit, es trudeln doch noch einige Bewerbungen ein. Per E-Mail, so wie heute eben üblich. Alle Mails auf und die Anhänge herunterladen. Der Bewerbungsprozess kostet die Firma Geld, je schneller ein geeigneter Mitarbeiter gefunden wird, umso besser für alle. IT Mitarbeiter sind am Markt, rar und gute, noch seltener. Aber plötzlich kommt es anders, denn während alle digitalen Bewerbungsmappen entpackt und einsortiert worden sind, müssen sie nun durchgesehen werden. Ab der dritten Bewerbung lassen sich die Dateien nicht mehr öffnen. Sie haben seltsame Endungen bekommen. “Warum geht bei uns nichts?”, blafft der IT Chef seinen Mitarbeiter an. “Ich kann keine Datei mehr öffnen!!”. Schnell findet der fleißige Mitarbeiter das Problem. Ein Verschlüsselungstrojaner. Er hat schon vieles gesehen, dieser hier verschlüsselt auch, aber die Dateiendungen und die zu zahlende Summ ist ganz anders.

So ähnlich könnte es in den Unternehmen ablaufen. Unser fiktives Beispiel hat sich den neuesten Locky Sprössling eingefangen. Bart. Nicht die bekannte Komic Figur, aber ähnlich destruktiv. Was unterscheidet Bart von Locky?

  • Art der Verschlüsselung
  • Höhe der Zahlungsforderung

Verschlüsselung

In der Regel verschlüsseln Trojaner wie Locky ganz gewöhnlich auf Dateiebene. Dies ist soweit nicht sonderbar, da es zu Standardprozedur gehört. Bart hingegen packt Dateien in verschlüsselte Zip Dateien. Der Decryptor selbst ist natürlich käuflich zu erwerben. Die Höhe ist aber Bemerkenswert. Es sollen 4.0 Bitcoins (BTC) bezahlt werden. Das macht bei einem relativ aktuellem Kaufpreis von 600 Euro pro Bitcoin etwa 2400 Euro. Damit ist die Erpessungssumme sehr hoch, vor allem für Privatanwender.

In meinen vorherigen Ransomware Beiträgen habe ich immer betont, dass die Unterbindung der Kommunikation an die C&C Server bereits Abhilfe verschafft. Bei Locky & Co klappt das, aber Bart benötigt keinen offenen Kommunikationskanal. Umso gravierender kann es Unternehmen treffen, die Offline-Rechner besitzen bzw. Systeme, die vom Internet firewallseitig stark eingeschränkt sind.

Gegenmittel

  • Keine Panik bei seltsamen Mails mit Zahlungsaufforderungen
  • Gegebenheiten zuerst prüfen, denn wenn es eine echte Zahlungsaufforderung sein sollte, dann kommt es auf die 10 Minuten auch nicht mehr an
  • Eigene Neugier im Zaum halten, denn Aussagen wie: “Schau dir die Bilder vom Firmenevent an, da haben manche echt übertrieben!” sind verlockend, aber gab es überhaupt eine Firmenveranstaltung in letzter Zeit?
  • Technisch: E-Mails über ein passendes E-Mail Gateway (zwischen Firewall und Mailserver) umkonfigurieren:
    • Zip Anhänge ausnahmslos überprüfen
    • Heuristiken hoch setzen (besser ein Admin gibt Mails manuell frei, die harmlos sind, kostet weniger als das Erpressungsgeld)

Weiterführende Links

Bücher zum Thema

 

Beitragsbild (Gehashte Passwörter in Linux) von Christiaan Colen – Creative Commons Lizenz BY-SA 2.0

Artikel teilen:

Kommentar verfassen