Wie kommt es zur Infizierung?
Locky (und auch andere Crypto-Viren) gelangen meist über Spam-E-Mail Anhänge auf einen Computer. Von da werden mittlerweile erreichbare Netzwerkstrukturen durchforstet um sämtliche Datenbestände zu verschlüsseln. Die verschlüsselten Daten sind dann nicht mehr für den Anwender lesbar.
Erpressung durch Zahlung mittels anonymer Bitcoin Währung
Hat Locky zugeschlagen, werden durch die gut organisierten Erpresser Zahlungsinformationen bereitgestellt, so dass die geforderte Summe von ca. 1-2 Bitcoin (aktuell ca. 40.000€) schnell gezahlt werden kann. Es ist unbedingt davon abzuraten, Zahlungen zu leisten. Nach erfolgter Überweisung der Summe besteht nämlich keine Garantie, dass die verschlüsselten Daten jemals wieder entschlüsselt werden.
Datenrettung nach Locky Verschlüsselung?
Aktuell erreichen uns häufig Anfragen zur Entschlüsselung von Daten, die zuvor durch einen Erpressungs-Trojaner (Locky, Tesla-Crypt, etc.) unlesbar gemacht wurden. Eine generelle Aussage, ob Daten wiederherstellbar sind, können wir leider nicht pauschal treffen. Der Aufwand zur Entschlüsselung durch unsere Kryptografie-Spezialisten ist jedoch sehr hoch. Der benötigte Zeitraum zu einer möglichen Datenwiederherstellung liegt hier deutlich höher als bei herkömmlichen Datenrettungen. Betroffene sollten mit Zeiten von mindestens 2-4 Wochen kalkulieren. Die Kosten gestalten sich aufwandsbezogen und sind mit mehreren Tausend Euro anzusetzen.
Ke-Ranger jetzt auch für Apple Anwender gefährlich
Galt vor allem die Gefahr innerhalb von Windows Netzwerken, besteht mittlerweile auch das Risiko für MAC Nutzer. Hier sind erste Fälle der Verschlüsselung durch den Crypto-Trojaner „Ke-Ranger“ bekannt geworden. Das Prinzip ist analog zu den bereits bekannten Windows Schädlingen und verschlüsselt Dateien innerhalb der jeweiligen Apple Netzwerke.
Referenzen für Locky-Trojaner
| Speichersystem | HDD |
|---|---|
| Hersteller | Seagate |
| Modell | ST1000DM003 |
| Größe in GB | 1.000,00 GB |
| Dateisystem | EXT |
| Betroffene Daten | Speicher eines Koordinationsbüros (Bauunternehmen): Textdokumente (DOCX, PDF, RTF), Kalkulationstabellen (XLS, CSV), Bilddateien (JPEG), Kontaktdaten von Dienstleistern und Handwerkern (XLS), Projektverwaltungsdokumente, usw. |
| Schaden | Daten sind nach und nach verschwunden oder wurden in fehlerhaften Formaten angezeigt, interne IT-Abteilung hat erfolglos versucht die Festplatten zu reparieren |
| Speichersystem | RAID 5 |
|---|---|
| Hersteller | QNAP |
| Modell | QNAP TS-453A |
| Größe in GB | 4.000,00 GB |
| Dateisystem | EXT4 |
| Betroffene Daten | Backupdaten von Safthersteller: Produktionsdaten, Qualitätskontrolltests, Lieferantenkontakte, Buchhaltungsdaten, Finanzberichte, Forschungsdaten, Wartungsprotokolle, usw. |
| Schaden | Datenverschlüsselung durch Ransomware, Forderung nach Lösegeld wird abgelehnt, Datenzugriff nicht mehr möglich (logischer Defekt) |
| Speichersystem | HDD |
|---|---|
| Hersteller | Dell |
| Modell | Dell Latitude 7430 |
| Größe in GB | 500,00 GB |
| Dateisystem | NTFS |
| Betroffene Daten | Ablage des Homeoffice-Notebooks des Abteilungsleiters eines Chemielieferanten: Berichte, Geschäftspläne, Strategiedokumente, Kundendatenbanken, Produktinformationen, Budgetpläne, Finanzberichte und Abrechnungen usw. |
| Schaden | Durch Phishing-Mail verursachtes Herunterladen von Schadsoftware, daraufhin werden Daten nicht mehr angezeigt, eine Vielzahl beschädigter Dateien, Verdacht auf Wettbewerbsphishing |
Johannes Hoffmeister ist schon immer Nerd und begeistert von Technik. Angefangen hat alles im Alter von 8 Jahren in der Freizeitgruppe Elektronik. Das Demontieren und Herausfinden der eingesetzten Technologie war und ist eine der größten Herausforderungen. Im Reverse Engineering des 21. Jahrhunderts angekommen ist ihm kaum ein Datenträger fremd noch dessen Technologie und die jeweils erforderliche Strategie zur Datenrettung.
Niox
