Locky Virus
Locky ist eine schädliche Software, die Dateien auf dem Computer verschlüsselt und Lösegeld fordert, um sie wieder zu entschlüsseln. Solche Programme werden Ransomware oder Verschlüsselungstrojaner genannt. Verbreitet wird Locky mit Spam-Mails, die von Netzwerken aus gehackten Computern, sogenannten Botnets, versandt werden.
Was macht Locky?
Üblicherweise tarnt Locky sich als Rechnung. Wenn der Anwender den Anhang der Spam-Mail öffnet, um die vermeintliche Rechnung zu lesen, zeigt ihm Microsoft Word ein Dokument, das nur einen Satz enthält: „Enable macro if the data encoding is incorrect“. Der Text fordert ihn also auf, die Makros in Word zu aktivieren. Das sollte der Anwender allerdings auf keinen Fall tun. Denn solange die Makros abgeschaltet bleiben, kann der Trojaner keinen Schaden anrichten.
Sobald die Makros aktiviert sind, beginnt die Schadsoftware ihr zerstörerisches Werk und verschlüsselt Dateien. Dabei scannt sie den Rechner nach bestimmten Dateien wie Bildern, Videos, Audiodateien, Textdokumenten und Archivdateien und verschlüsselt gezielt diese vermutlich für den Anwender wertvollen Dokumente. Die Lösegeldforderung hinterlegt Locky als Textdokument in jedem Ordner, der verschlüsselte Dateien enthält. Auch das Desktophintergrundbild tauscht die Ransomware mit einem Erpresserbrief aus. Der Brief erklärt, dass alle Dateien des Nutzers verschlüsselt wurden und fordert diesen auf, den Anweisungen auf einer Darknet-Adresse Folge zu leisten.
Wie erkenne ich Locky?
Das Problem bei der Erkennung von Locky ist, dass unterschiedliche Versionen der Ransomware verschickt werden. Alle Locky-Varianten funktionieren im Prinzip ähnlich, unterscheiden sich jedoch in vielen Details. Auch die Spam-Mails, mit denen Anwender zum Ausführen der Malware überlistet werden, setzen auf unterschiedliche Tricks, um die Empfänger zu täuschen.
Häufig tarnen sich die Nachrichten, die Locky verbreiten, als Rechnung. Das funktioniert, weil Konsumenten in Zeiten des Online-Shoppings ohnehin regelmäßig Rechnungen per E-Mail bekommen. Wer den Überblick über seine Finanzen behalten möchte und Mahnungen oder gar falsche Rechnungen vermeiden will, öffnet natürlich jede einzelne davon. Wer nicht jede per E-Mail erhaltene Rechnung automatisch öffnet, sondern vorher kurz prüft, ob davon eine Gefahr ausgehen könnte, erkennt Locky und andere Ransomware meistens schnell.
Auf folgende Punkte sollten Sie beim Öffnen einer E-Mail-Rechnung achten, um nicht auf Locky und andere Trojaner hereinzufallen:
- Zuallererst prüfen Sie die Plausibilität: Ist es realistisch, dass ich von diesem Unternehmen eine Rechnung erhalte? Stehe ich in irgendeiner Geschäftsbeziehung mit der Firma? Habe ich in letzter Zeit überhaupt etwas online gekauft?
- Sind bereits im E-Mail-Text Details über die Rechnung zu erfahren oder muss ich dazu erst den Anhang öffnen? Echte Rechnungen enthalten im Normalfall schon im Textteil der E-Mail Infos wie Rechnungssumme, Kaufdatum und Kundennummer.
- Die Angabe von Firmensitz, Unternehmenseigentümer und Kontaktdaten in der E-Mail-Signatur sind in Deutschland Pflicht. Fehlen diese Informationen, weist das im Normalfall auf Spam mit unlauteren Absichten hin.
- Üblicherweise werden Rechnungen nicht als Word-Dateien verschickt, sondern als PDF-Dokumente. Wenn Sie eine Word-Datei erhalten, ist eine gesunde Portion Misstrauen angebracht.
- PDF-Dateien können keine Makros enthalten und sind daher relativ sicher. Allerdings lassen sich ausführbare Dateien als PDF-Dokument tarnen. Wenn Sie eine solche Datei öffnen, startet nicht Ihr PDF-Reader, sondern Ihr Betriebssystem fragt nach, ob Sie wirklich eine aus dem Internet geladene Anwendung ausführen wollen. Verneinen Sie das, denn in diesem Fall können Sie gewiss sein, dass es sich um einen Trojaner handelt.
- Sollten Sie trotz aller Umsicht einen Anhang im Word-Format öffnen und aufgefordert werden, die Makros zu aktivieren, tun Sie das bitte auf keinen Fall! Auch das ist ein sehr deutlicher Hinweis auf Malware.
Kriminelle, die Ransomware verbreiten, sind erfinderisch. Neben dem Rechnungs-Trick haben sie sich noch andere Maschen einfallen lassen, um ihre Trojaner unters Volk zu bringen. So versenden die Locky-Erpresser auch gerne E-Mails, die vorgeben, von einem an das Internet angeschlossenen Scanner zu kommen.
Auch diese E-Mails lassen sich leicht erkennen. Wer keinen solchen Scanner besitzt, sollte misstrauisch werden. Und wer einen solchen sein Eigentum nennt, weiß normalerweise, ob er gerade etwas gescannt hat oder nicht und wie die E-Mails aussehen, die sein Scanner verschickt. Allerdings sollten Anwender nicht der Neugier nachgeben und versuchen, herauszufinden, worum es sich bei den offenbar irrtümlich erhaltenen Dokumenten handelt.
Wie entferne ich Locky?
Mittlerweile können alle namhaften Antivirenprogramme die bisher bekannten Versionen von Locky erkennen und entfernen. Die Verbreiter von Malware werden aber nicht müde, immer wieder neue Varianten ihrer Schadprogramme zu entwickeln, die bei den ersten Angriffswellen noch unbekannt sind und daher auch von den gängigen Antivirenlösungen noch nicht erkannt werden. Ein vorsichtiger Umgang mit E-Mail-Anhängen ist daher seitens des Computernutzers unerlässlich, um sich vor Locky und anderer Malware zu schützen.
So traurig es ist: Die Entfernung von Locky funktioniert zwar mit Antivirenprogrammen in der Regel einfach und automatisch, damit ist das Problem allerdings nicht gelöst. Die Dateien bleiben nämlich weiterhin verschlüsselt.
Im Idealfall hat der Anwender ein aktuelles Backup, dass er nach der vollständigen Entfernung von Locky einspielen kann. Keinesfalls sollten Nutzer das Backup-Medium an den Computer anschließen, so lange Locky noch aktiv ist, sonst fällt auch dieses dem Trojaner zum Opfer.
Ist kein Backup vorhanden, haben Betroffene zwei Möglichkeiten. Entweder sie warten einige Wochen und hoffen, dass es jemandem gelingt, die Verschlüsselung zu knacken. Das ist aber eher die Ausnahme. Oder sie bezahlen die geforderte Summe an die Erpresser. Auch das scheitert oft. Den Erpressern ist es nämlich egal, was mit den Dateien passiert, so lange sie ihr Geld erhalten. Aus diesem Grund und um diese Verbrechen für die Täter so wenig lohnend wie möglich zu machen, rät auch die Polizei dringend von der Zahlung des Lösegelds ab.
Fazit
Wenn Locky erst einmal Dateien verschlüsselt hat, ist der Schaden bereits angerichtet. Die Dateien des Nutzers können nur mit viel Glück wieder entschlüsselt werden und sind normalerweise für immer verloren. Besser ist es also, es durch vorsichtiges Anwenderverhalten, unterstützt von einem Anti-Virus-Programm, erst gar nicht so weit kommen zu lassen. Zusätzlich sollten Computernutzer regelmäßig Backups auf Datenträgern erstellen, die nicht dauerhaft mit dem Computer verbunden sind.