Der Verschlüsselungstrojaner (Ransomware) Locky ist auch weiterhin aktiv. Kaspersky Lab kennt derzeit (Stand 26. Februar 2016) über 60 Modifikationen von Locky. Analysen unserer Experten ergaben, dass Internetanwender in Deutschland und Frankreich der höchsten Gefährdung durch Locky ausgesetzt sind. Eine hohe Gefährdung besteht auch für Nutzer in Südafrika, Österreich, Italien, den USA, China und Indien.
Nach wie vor nutzt Locky insbesondere zwei Angriffsvektoren: Locky gelangt über gefälschte Rechnungen im E-Mail-Anhang auf den Rechner. Sobald das der E-Mail angehängte Dokument geöffnet wird, wird die Schadsoftware aus dem Internet nachgeladen – sofern die für die Infizierung nötigen Makros aktiviert sind. Daneben kennt Kaspersky Lab auch legitime Internetseiten, auf denen die Locky-Schadsoftware platziert wurde. Besucht ein Nutzer – mit entsprechenden Software-Schwachstellen auf seinem Rechner – eine entsprechende Seite, versucht sich Locky automatisch auf diesem Rechner zu installieren. In neueren Versionen tarnt sich Locky auch als Fax- oder Scanner-Benachrichtigung. Sobald Locky einen Weg auf den infizierten Rechner gefunden hat, startet der Trojaner seine Verschlüsselungsaktivitäten und fordert im Anschluss von den Opfern ein Lösegeld.
„Die Kriminellen hinter Locky versuchen derzeit aus der Erpressersoftware alles rauszuholen und größtmöglichen Profit zu erzielen“, sagt Marco Preuss, Leiter unseres europäischen Forschungs- und Entwicklungsteams. „Locky ist kein ‚Kinderfasching‘, hier hat jemand viel kriminelle Energie investiert.“
Wird das Jahr 2016 zum Jahr der Ransomware?
Erpressungs- und Verschlüsselungstrojaner sind kein neues Phänomen. Bekannte Fälle sind beispielsweise Coinvault oder Teslacrypt. Auch mobile Ransomware, die sich gegen Android-Nutzer richtet, ist weiter auf dem Vormarsch. Laut des Kaspersky Security Bulletin 2015/2016 hatte es bereits im vergangen Jahr 2015 jede sechste Ransomware-Attacke auf Android-Geräte abgesehen. Insgesamt gab es 2015 bei den von Ransomware attackierten Nutzern weltweit einen Anstieg um 48,3 Prozentpunkte.
2015 gab es bei den von #Ransomware attackierten Nutzern weltweit einen Anstieg um 48,3% #Locky
Tweet
Locky setzt diesen Trend fort. „2016 wird wohl das Jahr der Ransomware. Allein im Februar 2016 haben wir auf unsere Kunden so viele Angriffsversuche durch Ransomware gezählt wie etwa in den vorangegangenen fünf Monaten“, ergänzt Marco Preuss.
Aktuell zählen wir im Februar 2016 bereits über 40.000 infizierungsversuche durch Ransomware auf seine Kunden. Im weltweiten Vergleich liegt Deutschland auf Rang 3 der durch Ransomware gefährdeten Länder, hinter Russland und Indien.
Kaspersky-Sicherheitstipps
Um sich vor einem Ransomware-Angriff zu schützen, empfehlen wir die folgenden Sicherheitsmaßnahmen:
- Vorsicht bei E-Mail-Anhängen: Nutzer sollten keine Attachments innerhalb von E-Mails von unbekannten Personen öffnen. Zudem empfiehlt es sich, die Makro-Funktion in Dokumenten zu deaktivieren, weil sich Locky über eben diese auf einem Rechner einnistet.
- Regelmäßig Backups erstellen, damit man im Ernstfall wieder auf die verschlüsselten Daten zurückgreifen kann.
- Software aktualisieren: Betriebssystem, Browser und alle weiteren genutzten Programme sollten immer mit den aktuell verfügbaren Patches auf den neuesten Stand gebracht werden.
- Aktuelle Sicherheitssoftware einsetzen: Moderne Antivirenschutzlösungen wie Kaspersky Plus schützen vor einer Infizierung. Mittels spezieller Technologien wie dem Aktivitätsmonitor von Kaspersky Lab können bei einer unerlaubten Verschlüsselung die betroffenen Daten wiederhergestellt und ein System auf den ursprünglichen Zustand zurückgesetzt werden.
- Nicht bezahlen: Kaspersky Lab rät davon ab, das geforderte Lösegeld zu bezahlen. Stattdessen sollten bei digitalen Erpressungsversuchen die Strafverfolgungsbehörden eingeschaltet werden.
Die Lösungen von Kaspersky Lab erkennen und blockieren Locky unter dem Namen „Trojan-Ransom.Win32.Locky“. Die Signaturdatenbanken wurden bereits am 07. Februar 2016 entsprechend aktualisiert. Zudem wurde die maliziöse Aktivität eines laufenden Locky-Prozesses bereits proaktiv durch die verhaltensbasierte Kaspersky-Technologie Aktivitätsmonitor erkannt, die einen speziellen Ransomware-Schutz bietet.
Eine Kaspersky Plus sowie unserer Android-Lösung Kaspersky Internet Security for Android finden Sie hier: Kaspersky for Android