Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
News Disclaimer
Krypto-Trojaner Locky: Batch-Dateien infizieren Windows, Tool verspricht Schutz

26.02.2016

 zur Newsdatenbank home

Damit die Online-Ganoven von Locky ihren Krypto-Trojaner am Virenscanner vorbei auf die Systeme schleusen können, unternehmen sie einen weiteren Versuch. Das Tool Anti-Ransomware von Malwarebytes, welches Locky, TeslaCrypt und andere anhand ihres Verhaltens erkennen und stoppen soll, verspricht diesen Schutz. heise Security hat dieses Tool installiert und anschließend Locky ausgeführt, um herauszufinden, ob es Dateien tatsächlich vor der Verschlüsselung bewahrt.

Die Locky-Entwickler versuchen mit einem neuen Trick die etablierten Virenschutzprogramme auszutricksen. Der Sicherheitsexperte Kevin Beaumont berichtet, dass Batch-Dateien (.bat) den Virenwächter auf die falsche Fährte locken sollen. Unter anderem führt die Batch-Datei den Windows Script Host aus (cscript.exe), um mit einem Befehl den Krypto-Trojaner Locky herunterzuladen und auszuführen. Um die Erkennung durch Virenschutzprogramme zu erschweren, weicht Locky von den bekannten Infektions-Mechanismen ab.

Laut Beaumont dauert es rund 12 Stunden, bis professionelle Schutzprogramme neue Varianten des Schädlings identifizieren. Dadurch bleibt genug Zeit, mehrere tausend Opfer zu finden. Außerdem hat der Sicherheitsexperte ein interessantes Detail zum Verbreitungsweg des Erpressungs-Trojaners herausgefunden. Es gibt offenbar ein Partnerprogramm, welche die Person, die Locky auf den Rechner des Opfers geschleust hat, an den erpressten Einnahmen beteiligt.

Es werden ständig neue Varianten des Schädlings von den Ransomware-Entwicklern entwickelt und in Umlauf gebracht. Daher ist es nicht ratsam, sich auf einen Virenscanner zu verlassen. Das Tool Anti-Ransomware von Malwarebytes verspricht zusätzlichen Schutz, das Krypto-Trojaner anhand ihres Verhaltens erkennen und stoppen soll. Wird zum Beispiel durch ein Prozess massenhaft Dateien bestimmter Formate gelöscht und legt neue dafür an, könnte es sich dabei um einen Krypto-Trojaner handeln.

Ob dieses Schutzprogramm den versprochenen Schutz bietet, hat heise Security ein Testsystem absichtlich Locky infiziert. Anti-Ransomware konnte den Trojaner aufhalten, aber erst, nachdem bereits 20 Dateien verschlüsselt wurden.

Keine Datei wurde ini einem Test mit TeslaCrypt 3 verschlüsselt. Allerdings rät der Hersteller, die Beta-Version nicht auf Produktivsystemen einzusetzen. Sie dient lediglich dazu, etwaige Bugs wie Fehlalarme aufzuspüren.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89