Skip to content

Krypto-Trojaner Locky, Cryptowall und Co.

by Daniel Lengies on März 7th, 2016

Seit einigen Wochen bis wenigen Monaten kursieren sehr unangenehme Krypto-Trojaner wie Locky, TeslaCrypt, Cryptowall und seit kurzem auch ein Erster für MacOS. Im folgenden Text finden Sie Informationen und Handlungsempfehlungen, die helfen, sich möglichst gut gegenüber den neuen Schädlingen abzusichern. Dabei spielen das Bewusstsein und eine gute Sicherheitsinformationspolitik im Unternehmen eine wichtige Rolle neben den technischen Schutzmaßnahmen.

Was tun sie, diese Krypto-Trojaner?
Durch Anhänge (MS Office-Dokumente mit Makros, Javascript und VB-Inhalten, infizierte PDFs) in sehr realistisch wirkenden eMails von vermeintlichen externen Dienstleistern (Paketdienste, die klassische Rechnung, „Ihre Anfrage…“ etc.) wird ein Command- & Control-Server (nein, gleich mehrere als Fallback!) kontaktiert, der/die pro System einen dedizierten Private Key generieren und dem infizierten System zuordnen. Mit dem zugehörigen Public Key wird nun ein symmetrischer Schlüssel verschlüsselt und damit wiederum Teile oder der gesamte Speicherbereich des befallenen Systems und alle von ihm aus erreichbaren Datenspeicher verschlüsselt (oft AES-256-bit, bisher noch nicht einfach zu entschlüsseln). Im Anschluss wird mit einer Lösegeldforderung eine Software zum Entschlüsseln vom User erpresst.

Warum fallen so viele User darauf herein?
Nebst den gut getarnten eMails und teils für Laien realistisch wirkenden URLs (z.B. dhl.paketdienst.de statt dhl.de) ist wie in seriösen eMails mittlerweile sogar eine detaillierte Anleitung vorhanden, die ähnlich lautet, wie „Wenn das Dokument nicht richtig angezeigt wird, aktivieren Sie über folgenden Weg die Makros: […]“, was bei vielen Nutzern ein gängiger Prozess ist, wenn etwas nicht „so schön“ angezeigt wird oder Bilder fehlen. Oft sind Berechtigungen recht weitreichend erteilt, sodass auch größere Bereiche verschlüsselt und damit unbrauchbar gemacht werden können.

Warum nutzt das gegen Lösegeld bereitgestellte Tool zur Entschlüsselung nur auf einem, nicht aber auf weiteren Systemen etwas?
Meist wird gegen eine „Lösegeldzahlung“ in Höhe von einigen hundert Euro ein Tool zur Entschlüsselung der vorher verschlüsselten Daten bereitgestellt. Doch das nützt nicht bei weiteren befallenen PCs, da es sich hier um eine asynchrone Verschlüsselung mit Public und Private Key handelt und somit jeder PC von einem C&C-Server einen eigens für dieses System generierten Private Key erhält.

Was mache ich, wenn ein System befallen ist?

  • Netzseitig isolieren. Keinen Kontakt zu weiteren PCs ermöglichen, um eine leichte Verbreitung zu verhindern.
  • Aufklären. Oft ist nicht bekannt, was passiert ist und was man künftig tun kann, um eine weitere Verbreitung oder ein erneutes Auftreten zu vermeiden.
  • Ohne Backup keine Recovery. Je neuer das Backup, desto besser.
  • Veranstalten Sie Workshops mit Mitarbeitern und eigenen Kollegen. Informationen und Handlungsempfehlungen helfen Mitarbeitern, sicherer mit Bedrohungen aus dem Netz umzugehen.
  • Haben Sie Notfallpläne, um Ihr Business am Laufen zu halten? Wenn nein, sollten Sie solche Pläne präventiv anlegen und sicher vorhalten.
  • Wie sieht Ihr Rechtemanagement aus? Wer darf was? Braucht wirklich jeder Nutzer Vollberechtigung auf alle Dokumente? Muss wirklich alles der gesamten Abteilung erlaubt sein? Oft reicht es, wenn einzelne Fachabteilungen und Poweruser entsprechende Berechtigungen bekommen.

Wie verhindere ich die Verbreitung?

  1. Infizierte Systeme isolieren. Ist ein System infiziert, ist es ratsam, dieses vollständig neu aufzusetzen.
  2. Netzbereiche voneinander trennen (VLANs, Security-Zonen).
  3. Das Firewall-Regelwerk nur mit expliziten Verbindungen pro System und Protokoll aufbauen.
  4. Keine Any-Any-Regeln verwenden.
  5. Zonenkonzepte beachten! Niemals Dateien aus nicht vertrauenswürdigen Zonen in interne Zonen übertragen.
  6. Rechtemanagement: Nie mehr Rechte geben, als notwendig. Auf Datei- und Systemebene gleichermaßen. Rechte laufend verwalten und in Berichten überprüfen.
  7. E-Mail-Security aktuell halten, Konfiguration turnusmäßig auf Best Practices prüfen.
  8. Pattern aktuell halten.
  9. Applikationsfirewall(s) einsetzen.
  10. Bewusstsein schaffen. Oldschool, aber weiterhin wichtig.
  11. Backups möglichst redundant und immer eine Kopie „offline“ vorhalten, falls ein Backup-System vollständig von Locky & Co. „überrannt“ wird.
  12. Backup-Systeme in andere Netzbereiche zu umziehen, Backups getrennt vom Client-LAN aufbewahren.

Bei Fragen zu diesem oder weiteren Themen sprechen Sie uns gerne an.

Wie Cryptowall im Detail tickt, erfahren Sie unter anderem hier: https://nakedsecurity.sophos.com/2016/01/11/ransomware-evolution-another-brick-in-the-cryptowall/

Comments are closed.