Trojaner Locky verschlüsselt Festplatten

Derzeit ist eine fiese Variante eines Ransomware-Trojaners unterwegs - und der Name sagt schon alles: Locky.  Dieser Trojaner verschlüsselt ca 5000 Systeme pro Stunde. Das Problem bei Locky: Der Trojaner ist ein Schläfer und wird von den gängigen Antivirenprogrammen nicht gefunden, da er bislang unbekannt war. Der Trojaner Locky wurde sehr wahrscheinlich durch Mails mit angehängter DOC-Datei in die betroffenen Systeme eingeschleust und durch ein Makro ausgeführt.

Er hat genau am 15.02.2016 um 15:06 Uhr das erste Mal angefangen, Daten auf den Computern zu verschlüsseln. Mittlerweile ist bekannt, dass die Startzeit dieses Trojaners 15:06 Uhr ist. Eine weitere große Angriffswelle war der 18.02.2016. In einer Textdatei wird der betroffene Nutzer zur Zahlung eines Bitcoins aufgefordert, dies sind derzeit 371 Euro (Stand 17.02.2016 09:49). Wir haben bereits von Forderungen über 500 Euro gehört.

Locky verschlüsselt lokale Festplatten, USB Datenträger, verbundene und nicht verbundene Netzlaufwerke und sogar Schattenkopien werden gelöscht und somit ist eine Wiederherstellung aus den Schattenkopien nicht möglich. Backups, die im Netzwerk gespeichert wurden, sind hiervon auch betroffen. Dieser Trojaner benennt auch alle Dateien so um, dass man den ursprünglichen Namen nicht mehr rekonstruieren kann.

So können Sie Locky vorbeugen:

• Bitte regelmäßige Backups erstellen und prüfen, ob sie funktionieren. Die Daten außerhalb des Netzwerkes als weitere Kopie lagern.
• Am eigenen System nicht als Administrator angemeldet sein.
• Den Virenscanner tagesaktuell halten, besonderes Augenmerk auf die Virensignatur richten. Die wird von jedem Hersteller mehrfach pro Tag aktualisiert. Die Firma Eset hat am 17.02.2016 ein Update zur Verfügung gestellt, indem dieser Trojaner erkannt wird.
• Keine Mailanhänge öffnen, von denen man nicht sicher ist, woher sie kommen.
• Makrofunktion vom Office abschalten oder zumindest nur Makros von vertrauenswürdigen Stellen aktzeptieren.

Locky hat zugeschlagen - was nun? 

Wir haben eine englische Anleitung im Internet gefunden, mit dem man diesen Trojaner entfernen kann. Hier gelangt man zu dieser Seite. Derzeit gibt es noch keine Software, die die Dateien vom Locky Ransomeware Trojaner entschlüsselt. Wir informieren Sie wieder, sobald es eine Software zur Entschlüsselung gibt.

Wenn man keine Datensicherung besitzt und auf dem System wichtige Daten waren, dann sollte man diese Daten aufheben. Sobald eine Entschlüsselung möglich ist, können die Daten wieder hergestellt werden. Beim Teslacrypt Ransomeware Trojaner konnte man später durch eine Entschlüsselungssoftware die Dateien entschlüsseln.

Weiteres: Programme zur Wiederherstellung verschlüsselter Dateien  Recuva (gefunden bei Heise).

Update zu Locky: Anti-Ransomware-Software verfügbar

Erpressungs-Trojaner Update 2.0: Deshalb sollten Sie nicht zahlen!

Erpressungs-Trojaner Update 3.0: Auch Macs sind nicht mehr sicher! 

So erkennen Sie den Betrug! - Was sich hinter dubiosen Rechnungen wirklich verbirgt

Beispielbild für eine Mail,  die den Trojaner Locky beinhalten kann. Mittlerweile sind die meisten Mails sogar in perfektem Deutsch und mit einer Signatur, die vermuten lässt, dass alles korrekt sei.