Locky Virus Welle erwischt Benutzer in Österreich

MS Office-Dokumente als Anhänge in E-Mails gesperrt

Durch die rasche Ausbreitung der Ransomware wurde aktuell der Versand und die Annahme von MS Office-Dokumenten in Form von E-Mail-Anhängen über die Mailserver von WDNS.at gesperrt. Diese Sperre ist kurzfristig geplant, soll die erste Welle der Verbreitung abfedern und unsere Kunden auf die Gefahr aufmerksam machen.

Bereits zu Beginn der LW 11 hat sich ein massiver Anstieg an Fake-E-Mails mit gefälschten Rechnungen, Zahlungsaufforderungen, Online-Bestellbestätigungen etc. in Form von Dateianhängen  bemerkbar gemacht.

Wurden im ersten Aufkommen noch eher .DOCM Dateien verwendet (Blockierung seit 14.03.2016), so haben die Verteiler Mitte der Woche die Strategie geändert und auf .DOC Dateien umgestellt. Dadurch werden auch Benutzer von älteren MS Office-Versionen erreicht.

In einem Groupmailing (Samstag den 19.03.2016, 23:00 Uhr) wurden unsere Kunden ausdrücklich vor der lauernden Gefahr dieser Viruswelle gewarnt.

Unternehmen aus dem Bereich Sicherheits-Software, wie z.B. IKARUS Security Software GmbH. aus Wien verzeichnen einen massiven Anstieg von infizierten Rechnern in Österreich. IKARUS spricht von bis zu 200 Outbreaks täglich und verzeichnet Angriffswellen von jeweils bis zu 20.000 infizierten Mails in Österreich.

Die Strategie der Verbreitung und der Code ändern sich mit jeder Viren-Version

Die Qualität der Nachrichten ist mittlerweile extrem hoch: Rechtschreib- und Grammatikfehler sind kaum zu finden, die Aufmachung der Anhänge ist vom Original kaum noch zu unterscheiden. Zur Verbreitung der Viren werden Anhänge in Form von .DOC,  .DOCX, .XLS bzw. .XLSX oder seltener .DOCM, XLSM Dateien eingesetzt.

Die aktuellste Generation des Trojaners setzt auf JavaScripts, eingebettet in HTML-E-Mails. Diese Art der Infektion ist viel schwieriger zu erkennen und dient nur als „Erstinfektor“ (sog. Dropper) um die eigentliche Malware nachzuladen. Dies macht Anhänge unnötig und durch die Änderungen des Codes stoßen Antiviren-Programme schnell an ihre Grenzen.

Sind PC mitsamt Netzwerk-Laufwerken erst einmal verschlüsselt, gibt es so gut wie keine Möglichkeit, die Daten zu dechiffrieren: „Cerber“, „Locky“, „Cryptowall“ oder „Tesla Crypt“ verwenden sowohl symmetrische als auch asymmetrische Schlüssel und sind nach anfänglichen Startschwierigkeiten mittlerweile leider so sauber programmiert, dass die von Ihnen verschlüsselten Systeme mit vertretbaren Mitteln nicht mehr entschlüsselt werden können.

Neugierde kann teuer werden

Nur aktuelle BackUps retten vor dem Datenverlust. Bei einem Befall kann das Rücksichern der Daten allerdings einen nicht zu unterschätzenden Aufwand verursachen. Unsere dringende Empfehlung, seien Sie besonders vorsichtig mit (möglichen)Viren-Mails, besser löschen als der Neugierde verfallen.

Dringende Maßnahmen um sich vor Locky und anderer Schadsoftware zu schützen:

  • E-Mails unbekannter Absender nicht öffnen und ungelesen löschen.
  • E-Mails bekannter Absender mit zweifelhaftem Inhalt/Betreff ungelesen löschen.
  • E-Mails von Banken und Kreditinstituten nur öffnen, wenn Sie eine Nachricht wissend erwarten. Der Rest an Nachrichten ist Bullshit.
  • E-Mails von PayPal, PayLife etc. ungelesen löschen! Diese Institutionen bieten Ihnen die Möglichkeit, mittels gesicherter Verbindungen (HTTPS) alle relevanten Infos über deren Online-Portale zu erhalten.
  • Warn-E-Mails von der Bundes-Polizei-Direktion, vom Finanzamt oder der Steuerfahndung sind ebenfalls Bullshit.
  • Warn-E-Mails von Microsoft sind Fake-Mails. Ohne aktiven Kooperationsvertrag hat Microsoft kaum Interesse an Ihren Problemen.
  • BackUp, BackUp und nochmals BackUp!
    Beachten Sie: Locky und andere Crypto-Trojaner zerstören auch Daten auf Netzlaufwerken (NAS) und auf Wechseldatenträgern (USB-Festplatten). Sollten Sie Ihre Datensicherung auf Ihr NAS oder auf eine USB Festplatte speichern, ist dieses BackUp in den meisten Fällen ebenfalls von der Zerstörung betroffen!
    Wechseln Sie Ihr Sicherungsmedium täglich (pro Wochentag eine Festplatte) aus.
  • Aktualisieren Sie Ihren Browser! Vergewissern Sie sich, dass Ihr Browser mit einem aktuellen Plug-In des Anti-Virenscanners (auf Ihren ArbeitsplatzPC) ausgestattet ist. Besondere Vorsicht bei der Verwendung von Browsern ohne Plug-In Unterstützung (z.B. Windows 10 + MS Edge Browser = drive-by Infektion)
  • Aktualisieren Sie Ihr Betriebssystem laufend.

Diese Liste ist keinesfalls vollständig!

MS Outlook und der Makro-Code

Sollten Sie MS Outlook als Mail-Client verwenden, vergewissern Sie sich, dass MS Outlook Makro-Code erst nach Rückfrage ausführen darf. Die Einstellungen finden Sie im MS Outlook Vertrauensstellungcenter. Diese sind je nach Version unterschiedlich zu erreichen, wie z.B.

  • MS Outlook 2007 - Extras/Vertrauensstellungcenter/Makrosicherheit
  • MS Outlook 2010/2013 - Einstellungen/Optionen/Sicherheitscenter/Einstellungen für das Sicherheitscenter/Einstellungen für Makros
  • Deaktivieren Sie das Ausführen von Makros!