Erpresserbrief Locky Verschl├╝sselung

Infektion durch einen Kryptovirus

Dieser Artikel ist Teil einer Artikelserie zum Thema Ransomware. Alle Artikel der Serie finden Sie auf unserer Ransomware-Themenseite.

Seit Ende 2015 verbreiten sich Krypto-Locker mit gro├čer Geschwindigkeit. Sie infizieren Rechner und alle mit ihnen verbundenen Datenspeicher, auch die in der Cloud. Dabei werden pers├Ânliche Dokumente, Bilder und auch Filme verschl├╝sselt. Im aramido-Labor haben wir das gemacht, was man nie tun sollte: wir haben eine E-Mail mit einem Verschl├╝sselungstrojaner ge├Âffnet und uns dabei mit Locky infiziert. Wir zeigen Ihnen, wie eine Infektion abl├Ąuft und welche M├Âglichkeiten es gibt an die verschl├╝sselten Daten wieder heranzukommen.

Verd├Ąchtige E-Mail mit Anhang

In unserem Labor haben wir einen Rechner mit Windows 8 und dem E-Mail-Programm Microsoft Outlook vorbereitet, wie er bei Firmen oder auch zu Hause im Einsatz ist. Zus├Ątzlich haben wir die Windows-eigene Firewall und einen Virenscanner installiert. Outlook hat die E-Mail mit dem Kryptovirus nicht als Spam eingestuft; jedoch erkennt das geschulte Auge schnell, dass etwas nicht stimmen kann:

  • die Anrede ist mit ÔÇ×Hallo ,ÔÇť etwas kurz ausgefallen und es fehlt offensichtlich der Name,
  • zwei Rechtschreibfehler in einem Einzeiler sind seltsam,
  • zwei Rechnungen in einem Word-Makro-Dokument (.docm) sind ungew├Âhnlich und
  • besprochen, wie in der E-Mail behauptet, haben wir mit Avdyl Hima nie etwas.

Nach dem ├ľffnen des Dokuments m├╝ssen wir Makros aktivieren und es dauert einen Moment, wonach wir eine Warnung von unserem Virenscanner erhalten. Dieser hat prompt den Trojaner erkannt und verhindert die weitere Ausf├╝hrung. Da es jedoch sein kann, dass der Virenscanner einen neuen Trojaner noch nicht kennt, deaktivieren wir den Virenscanner. Danach geht alles ganz schnell: nach dem erneuten ├ľffnen der Rechnung und dem Aktivieren der Makros werden alle Dateien auf dem Rechner verschl├╝sselt und wir erhalten den Erpresserbrief. Wir haben uns mit dem Krypto-Trojaner Locky infiziert.

Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschl├╝sselt.

Selbst├Ąndig ├Âffnet sich die Windows Fotoanzeige und der Browser mit der Meldung, dass alle Dateien mit RSA-2048 und AES-128 Ziffern verschl├╝sselt wurden. Auch wurde das Desktop-Hintergrundbild mit der gleichen Nachricht ausgetauscht. Ein Blick in die eigenen Dateien verr├Ąt, dass die Erpresser ihre Drohung wahr gemacht haben. Jede Datei hat nun einen kryptischen Dateinamen und die Endung .locky.

L├Âsegeld mit Bitcoins bezahlen

Damit die Erpresser anonym und unsichtbar bleiben, verwenden sie das Tor-Netzwerk. Die Webseite, die wir aufrufen sollen, um Informationen zur L├Âsegeldzahlung zu erhalten, kann deshalb nicht aufgesp├╝rt werden. Auf dieser Webseite wird uns angeboten den Locky Decryptor zu kaufen, mit dem wir anschlie├čend angeblich unsere Dateien wieder entschl├╝sseln k├Ânnen. Es wird au├čerdem erkl├Ąrt, wie wir die L├Âsegeldforderung in H├Âhe von 4,1 BTC (Bitcoins) ÔÇô umgerechnet knapp 2000 ÔéČ - zahlen k├Ânnen.

An dieser Stelle gehen wir nicht weiter: auf die L├Âsegeldforderung einzugehen ist f├╝r uns keine Option, da wir f├╝r den Notfall mit Backups und anderen Ma├čnahmen vorbereitet sind. Wir werden jedoch in einem weiteren Beitrag berichten, wie die Daten durch eine Entschl├╝sselungssoftware oder durch andere Ma├čnahmen wieder hergestellt werden k├Ânnen.

Fazit

Eine Infektion durch Ransomware hat schwere Folgen: Pers├Ânliche Dateien werden schnell verschl├╝sselt und es gibt keine M├Âglichkeit an die Daten wieder heranzukommen, es sei denn man hat sich ausreichend auf solch einen Notfall vorbereitet oder man ist bereit das L├Âsegeld zu zahlen. Wer verd├Ąchtige E-Mails identifiziert und seine Software mitsamt Virenscanner aktuell h├Ąlt hat ein geringes Risiko sich mit einem Kryptotrojaner zu infizieren. Wird der Computer dennoch befallen, m├╝ssen die richtigen Handlungen in dieser Notfallsituation in die Wege geleitet werden.

Die Sicherheitsexperten von aramido helfen Ihnen im Notfall schnell und unkompliziert.

Technische Hintergrundinformationen

Die Infektion fand durch das Ausf├╝hren von Makros aus dem Word-Dokument statt. In dem Dokument selbst findet man eine gro├če Menge an stark verschachteltem, teilweise ├╝berfl├╝ssigem Makro-Code, um das eigentliche Vorgehen zu verschleiern.

Sub autoopen() 'Dieser Sub wird beim ├ľffnen des Dokuments ausgef├╝hrt
If deletemonsters(0) > 0 Then 'In seltenen Fall (deletemonsters == 0) wird das Opfer nicht infiziert
  makeplatform 0, 0, 0, 0 'F├╝hrt erneut mehrere Subs verschachtelt und sequentiell aus
End If
End Sub

Function deletemonsters(a As Integer) As Double
    Dim b As Integer
    If a > 0 Then 'Diese Bedingung ist hier immer FALSCH
        For b = 0 To 16
            plan.ets(a).mon_template(b) = m
            plan.ets(a).mon_noamin(b) = 0
            plan.ets(a).Mon_noamax(b) = 0
        Next
    End If
Randomize
deletemonsters = Rnd 'Es wird eine Zahl kleiner 1 und gr├Â├čer gleich 0 zur├╝ck gegeben
End Function

Weiterer Makrocode l├Ądt aus den Eigenschaften eines Bilds, das in einem Formular des Dokuments integriert ist, verschleierte Anweisungen, durch die weitere Schadsoftware geladen und ausgef├╝hrt wird. Die URL hierzu wird durch komplizierte Anweisungen aus ASCII-Zeichen zusammengebaut, sodass eine Textsuche nach Domains oder Zeichenketten wie "http" erfolglos bleiben.

In unserem Fall wurde der Schadcode von einem infizierten Server einer polnischen Schule nachgeladen und ausgef├╝hrt. Dieses Verhalten ist h├Ąufig zu beobachten und es gibt zahlreiche Hosts im Internet, die durch Sicherheitsl├╝cken oder schwache Absicherungen gekapert wurden. Sichern Sie Ihre Dienste ausreichend gegen Angriffe und lassen Sie diese durch einen Penetrationstest ├╝berpr├╝fen.

Eine ├ťbersicht aller bereits ver├Âffentlichter Artikel finden Sie auf unserer Themenseite Ransomware. Bisher sind au├čer diesem Artikel die folgenden Artikel erschienen:

F├╝gen Sie den ersten Kommentar hinzu