Wie sieht ein Locky Downloader aus

n rn
Derzeit ist neben einer angehängten Word-Datei eine E-Mail vom scanner@meinefirma.de (meinefirma.de entspricht der Firmendomain), der Betreff lautet z.B. mailadressedesmitarbeiters-3409450345890@meinefirma.de.rnrnIm Anhang der E-Mail befindet sich eine ZIP-Datei, die wiederum eine .js-Datei enthält. Wer diese Datei anklickt, ist selbst schuld, denn er hat nun Locky heruntergeladen und ausgeführt und alle Dateien (auch auf Netzlaufwerken mit Schreibzugriff) sind verschlüsselt.rnAls aktuelle Variante wird dabei meist Teslacrypt 4.0 benutzt, das nun auch versteckte Netzwerkfreigaben sucht (und findet) und auch Dateien und Container >4GB verschlüsseln kann. Da der Private Schlüssel 4096 Bit lang ist, ist eine Entschlüsselung unmöglich.rnrnDa Scanner nur PDF-Dateien verschicken und auch nur, wenn der Mitarbeiter vorher etwas gescannt hat, dürfte an sich niemand solche Anhänge öffnen und ausführen. Es wird aber trotzdem geklickt.rnrnAuf der administrativen Seite würde es jetzt helfen, wenn man Downloads in der Firewall blockt. Ist die Downloadadresse aber (wie in diesem Beispiel) eine HTTPS Webseite, hilft nur eine Next Generation Firewall, die auch SSL-Verschlüsselten Inhalt analysiert und blocken kann. Dort werden dann nur echte PDF-Dateien durchgelassen, alle anderen Downloads werden geblockt.rnrnBitte sensibilisieren Sie Ihre Mitarbeiter, keine vermeintlichen Scanner-Anhänge zu öffnen, auch dann, wenn die Absendeadresse vertraut erscheint. Austausch von Dokumenten mit Externen Personen sollten NUR im PDF-Format erfolgen. Bei Office Dokumenten (Word, Excel) besteht ein Risiko, dass diese Makroviren enthalten.rn (Letzte Revision: 22.03.2016 18:17:02) (Post ID:275)n

Zusammenfassung
  1. Ist die Downloadadresse aber (wie in diesem Beispiel) eine HTTPS Webseite, hilft nur eine Next Generation Firewall, die auch SSL-Verschlüsselten Inhalt analysiert und blocken kann.
  2. rnrnDa Scanner nur PDF-Dateien verschicken und auch nur, wenn der Mitarbeiter vorher etwas gescannt hat, dürfte an sich niemand solche Anhänge öffnen und ausführen.
  3. 0 benutzt, das nun auch versteckte Netzwerkfreigaben sucht (und findet) und auch Dateien und Container >4GB verschlüsseln kann.
Verwandte Beiträge
Über den Autor:
Patrick Bärenfänger ist Ihr Experte für IT-Sicherheit und IT-Systeme mit TÜV-Zertifizierungen als IT-Security Manager und -Auditor und über 33 Jahren IT-Erfahrung. Er bietet Ihnen professionelle Dienstleistungen in den Bereichen: Ausbildung und Zertifizierung von Systemkoordinierenden, Infrastruktur-Analyse und -Optimierung zur Azure-Cloud-Migration, IT-Systemprüfungen und Notfallplan/Risiko-Analyse nach anerkannten Standards BSI-Grundschutz und IDW PS330 und Anwendung der künstlichen Intelligenz in der Praxis.

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert