Locky wird meistens über E-Mail Anhänge eingeschleust
Auch wenn die Schreibweise des hoch aggressiven Krypto-Trojaners „Locky“ dem englischen Wort „lucky“ sehr ähnlich sieht, sollte sich jeder Systemadministrator freuen, wenn er Locky eben nicht auf seinen Netzwerken, Servern und Arbeitsstationen findet. Locky gehört zur Gruppe der Krypo-Trojaner, die aktuell eine neue Stufe der Cyber-Kriminalität eingeläutet haben. Betroffene Systeme werden verschlüsselt, für den normalen Zugriff gesperrt und eine freundliche Bildschirmanzeige bietet ein kostenpflichtiges Entschlüsselungsprogramm an. Ja, auch wenn oft geschädigte Nutzer dazu neigen, dieser „Lösegeldforderung“ nachzugeben so rät das Bundesamt für Sicherheit in der Informationstechnik (BSI) doch dringend davon ab und unterstreicht in diversen Warnungen das bestehende, hohe Gefahrenpotential.
Öffnen Sie nur noch vertrauenswürdige E-Mail Anhänge
Oftmals wird der Krypto-Trojaner über einen E-Mail Anhang in das unternehmensweite Netzwerk eingeschleust. Das Öffnen eines Word-, Excel- oder Powerpoint-Anhang kann ausreichen, dass sich der schädliche Quellcode von Locky in den Rechner einnistet. Von hier aus kann er sich unbemerkt über das Netzwerk auf weitere angeschlossene Systeme verbreiten. Fatal an der Sache ist: Locky wird allem Anschein nach nicht sofort aktiv! Locky wird entweder „ferngezündet“ oder zu einem vordefinierten Zeitpunkt aktiv. Als Krypto-Trojaner verschlüsselt er dann den infizierten Rechner, wobei auch gleichzeitig noch alle auffindbaren Schatten-Kopien oder Snapshots gelöscht werden, die beispielweise noch für eine Wiederherstellung des Systems verwendet werden könnten. Es versteht sich von selbst, dass nunmehr ein uneingeschränkter Zugriff auf wichtige Daten eines Unternehmens nicht mehr möglich ist und der Ruf nach dem letzten Backup als einzige Chance zur Rettung aus dieser Gefahrensituation helfen könnte.
Vorsicht beim Öffnen von E-Mail Anhängen
REDDOXX rät zur größtmöglichen Vorsicht beim Öffnen von jeder Art von E-Mail Anhängen. Ein versehentliches, unbeabsichtigtes Öffnen einer Word-Datei kann ausreichen, um das gesamte Unternehmensnetz mit dem Krypto-Trojaner zu verseuchen. Es erscheint dringend erforderlich, dass alle Mitarbeiter äußerst vorsichtig jede Art von Anhängen öffnen und in Zweifelsfällen den Systemadministrator konsultieren. Dies gilt ganz besonders bei E-Mails von unbekannten Absendern, aber auch im Zweifelsfall aus bekannten Quellen. Oftmals kann eine Alternative das Versenden von Dokumenten im pdf-Format sein oder das Packen von Dateien in zip-Containern. REDDOXX empfiehlt allen Systemadministratoren dringend, eindeutige Richtlinien und Empfehlungen an alle Netzwerk-Nutzer zu definieren und weiterzuleiten. Bei Einsatz des REDDOXX E-Mail SpamFinder stehen Prozeduren zur Verfügung, die dem Admin helfen, eine Infektion durch Öffnung von E-Mail Anhängen signifikant zu vermindern.
REDDOXX SpamFinder minimiert das Risiko durch Krypto-Trojaner
Heute gibt es noch keinen 100%igen Schutz vor Krypto-Trojaner, wie beispielsweise Locky. Der REDDOXX SpamFinder ist direkt hinter der Firewall eines Unternehmens geschaltet und erhält hier als erste Instanz alle eingehenden E-Mails, die sofort auf schädliche Software überprüft werden. Krypto-Trojaner, die sich in den E-Mail Anhängen befinden, sind nicht sofort zu erkennen. Die ersten Kunden meldeten bereits, dass die REDDOXX Appliance „Locky“ erkannt und herausgefiltert hat. Grundsätzlich empfiehlt REDDOXX dennoch die Erstellung eines Filters, sodass überhaupt keine E-Mail mit kritischen Anhängen (z.B. doc, exe, com, ppt, xls etc) verschickt oder empfangen werden können (siehe auch: Hinweise zur Filterung von E-Mails mit schädlichen Office Dateien). Die Einstellung dieser Regel mit REDDOXX SpamFinder bewirkt natürlich auch jeweils eine Info-Mail an den internen oder externen Absender einer digitalen Nachricht, sodass hier andere Formate für die Anhang-Übermittlung gewählt werden können.
Auch wenn dieser Filter nicht aktiviert ist, agiert der REDDOXX SpamFinder als intelligenter Virenscanner und erkennt typischerweise bereits nach ein bis zwei Stunden den schädlichen Trojaner. Sobald der REDDOXX SpamFinder über das Bulk-Detection (Signatur-Ermittlung durch Mehrfacherkennung) die Signatur eines Krypto-Trojaners erkannt hat, wird über den intelligenten Scan eine betroffene E-Mail in den Quarantäne-Ordner verschoben und somit nicht an den Empfänger weitergeleitet.
Mit REDDOXX den E-Mail Verkehr sicherer machen
Mit dem REDDOXX E-Mail Management-System werden nicht nur alle denkbaren und aktuellen Mechanismen und Technologien zur professionellen Abwehr von E-Mail Bedrohungen eingesetzt, sondern auch die gesamte Unternehmenskommunikation langfristig über das Modul MailDepot archiviert. Gerade in Zeiten eines hoch aggressiven Angriffs durch Krypto-Viren und andere schädliche Software ist es wichtig, die Kommunikation in einem in sich geschlossenen System im Original-Format vorrätig zu haben. Bei der Archivierung von E-Mails werden die ein- und ausgehenden digitalen Nachrichten zwar auf schädlichen Quellcode gescannt, jedoch nicht geöffnet oder ausgeführt. Wird ein Virus erkannt, wird die E-Mail selbstverständlich nicht archiviert. Hierdurch kann sichergestellt werden, dass im REDDOXX Archiv ausschließlich relevante E-Mails vorgehalten werden.