Die Ransomware Locky hat nun einen Mitstreiter: Petya. Der Trojaner zielt auf Opfer im deutschsprachigen Raum ab und lässt deren Rechner nicht mehr starten. Er verschlüsselt außerdem die Festplatten, wie man es auch schon von Locky kennt.
(firmenpresse) - Die Ransomware Locky hat nun einen Mitstreiter: Petya. Der Trojaner zielt auf Opfer im deutschsprachigen Raum ab und lässt deren Rechner nicht mehr starten. Er verschlüsselt außerdem die Festplatten, wie man es auch schon von Locky kennt.
Nach der ersten Analyse durch Sicherheitsspezialisten der vimopro GmbH, scheint der Erpressungstrojaner Petya zur Verschlüsselung zwei Phasen einzuleiten. Die zum Bootvorgang benötigen Informationen werden manipuliert und anschließend wird durch ein vorgetäuschtes chkdsk das Dateisystem verschlüsselt. Allerdings scheint nicht die gesamte Festplatte verschlüsselt zu werden, was die Rettung der Daten anhand von Forensik-Tools wahrscheinlich möglich macht.
Kaum ist „Petya“ identifiziert, steht „Samsa“ mit einer neuen Taktik bereits in den Startlöchern. Die Lösegelderpressung nach der Datenverschlüsselung scheint ein lukratives Geschäftsmodell zu sein. Beinahe wöchentlich werden neue Trojaner mit neuen Vorgehensweisen bekannt. So erkundet zum Beispiel Samsa zunächst die gesamte IT-Infrastruktur und verbreitert seine Operationsbasis. Danach wird der Verschlüsselungsvorgang der vorgefundenen Daten gestartet.
Die Erpressten Daten können zumeist mit einem speziellen Schlüssel wieder entschlüsselt werden. Allerdings wird ein gewisser Geldbetrag gefordert, um diesen Schlüssel zu erhalten. Sind wichtige Unternehmensdaten erst einmal verschlüsselt, hilft also in der Regel nur eine zuvor erstellte Sicherung.
Wie man sich schützen kann?
Erpressungs-Trojaner fängt man sich üblicherweise über E-Mails mit Anhängen oder Drive-by-Downloads ein. Sie agieren automatisch und verschlüsseln alle wichtigen Daten. Ebenso wird gezielt nach verwundbaren Netzen gesucht – die dafür eingesetzten Methoden variieren. Die Trojaner sind meist als angebliche PDF, Word oder Excel-Dateien oder zum Beispiel als Bildschirmschoner (.SCR-Datei) getarnt oder verstecken sich in Skripten auf Internetseiten.
Zum Schutz vor Ransomware sollten alle Computer, Server und die Netzwerkkomponenten auf dem aktuellsten Softwarestand sein. Neben der Aktualität ist die Konfiguration ein noch wichtigerer Punkt. Ungenutzte Plugins sollten allgemein deaktiviert werden. Einen Grundschutz bieten außerdem Firewalls der aktuellen Generation, Virenscanner mit Echtzeitschutz und E-Mail-Filter. Zu guter Letzt sind Backups der Daten immer ein Notnagel.
Mehr Informationen zur Prüfung der IT-Sicherheit: http://vimopro.de/security-audit/
vimopro ist Ihr Spezialist für gesamtheitliche IT Strategien und Betreuung. Mit dem Schwerpunkt IT-Sicherheit adressiert vimopro mittelständische Unternehmen. IT von heute bedarf hoher Innovationskraft, ein nie müde wer- dender Visionärsgeist und die Gabe, den Kontext nicht aus den Augen zu verlieren.
vimopro GmbH
Reutenbachstrasse 8
78126 Königsfeld
Phone: +49 7721 91626 00
Email: info[at]vimopro.de