Experten warnen "Locky" - gefälschte BKA-Mails verbreiten Virus
Düsseldorf · Der Computervirus Locky wütet nach wie vor. Jetzt tauchen vermehrt Mails auf, die angeblich vom Bundeskriminalamt (BKA) verschickt werden. Ein angehängtes Tool soll Locky vom Rechner entfernen. Doch es macht genau das Gegenteil.
IT-Sicherheitsexperten warnen: Diese vermeintlichen BKA-Mails transportieren selbst einen Anhang mit Schadsoftware. Das schreibt das Portal Mimikama.
In der Mail wird behauptet, dass das Bundeskriminalamt mit Herstellern von Antiviren-Software zusammen arbeite und fordert, einen Sicherheitsratgeber und ein Analysetool namens "BKA Locky Removal Kit.exe" im Anhang herunterzuladen. Diese Datei sei aber selbst ein Trojaner.
Nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) sind von "Locky" vor allem nicht optimal geschützte Computer betroffen. "Fakt ist, dass Ransomware wie 'Locky' meist keine neuen Schwachstellen ausnutzt", sagte ein Sprecher der Behörde.
Wer seinen Rechner schütze, indem er seine genutzte Software aktuelle hält, Sicherheitsupdates einspielt, einen aktuellen Virenschutz nutzt und achtsam mit E-Mails umgeht, sei auf der sicheren Seite.
"Locky" verbreitet sich per Mail als Makro-Code in angehängten Office-Dateien oder als Javascript-Datei in einem ZIP-Anhang. Das Ausführen von Javascript-Dateien lässt sich aber durch das Deaktivieren des sogenannten Windows Scripting Hosts unterbinden, erklärt der Verband der Internetwirtschaft (Eco).
Das geht einfach über ein Tool wie XP-Antispy (Download hier), wo einfach beim Eintrag "Scripting Host deaktivieren" ein Häkchen gesetzt werden muss. Auch in den Einstellungen des genutzten PDF-Programms empfiehlt es sich, Javascript zu deaktivieren.
Das automatische Ausführen von Makros sollte in allen Suiten von Microsoft Office bis Libre Office standardmäßig deaktiviert sein. Besser ist es den Angaben zufolge aber, dies in den Einstellungen zu kontrollieren und gegebenenfalls zu korrigieren. Fragt ein Dokument, ob es Makro-Befehle ausführen darf, sollte der Nutzer überlegen, ob und warum dies notwendig sein könnte und die Berechtigung höchstens erteilen, wenn man dem Absender der Datei vertraut.
Das BSI weist in dem Zusammenhang darauf hin, dass regelmäßig angelegte Daten- und System-Backups im Falle einer Infektion durch einen Verschlüsselungs-Trojaner (Ransomware) oft die einzige Möglichkeit sind, die betroffenen Dateien und Systeme wiederherzustellen und größeren Schaden zu vermeiden.
Bei Backups sollte folgendes beachtet werden:
- Sichern Sie regelmäßig Ihre Daten auf ein externes Speichermedium, beispielsweise eine USB-Festplatte, einen USB-Speicherstick oder einen vertrauenswürdigen Cloud-Speicher.
- Viele Verschlüsselungstrojaner können auch Daten auf externen Laufwerken und Netzlaufwerken unbrauchbar machen. Verbinden Sie deshalb das Speichermedium für Ihre Datensicherungen nicht dauerhaft mit Ihrem Computer.
- Bewahren Sie ihre Datensicherung getrennt von Ihrem Computer an einem geschützten Ort auf. Wenn Sie Cloud-Dienste für die Datensicherung verwenden möchten, informieren Sie sich, welchen Schutz Ihrer Daten (Transportverschlüsselung, verschlüsselte Ablage) der Cloud-Betreiber gewährleistet.
- Prüfen Sie anhand einiger ausgewählter Dateien, ob sich die gesicherten Daten auch tatsächlich wiederherstellen lassen.
Wird "Locky" durch das Öffnen des Anhangs aktiv, werden alle Dateien auf dem betroffenen Computer verschlüsselt. Die Erpresser fordern Lösegeld für die Entschlüsselung.
Das Bundesamt für Sicherheit in der Informationstechnik rät, auf keinen Fall auf die Lösegeldforderungen einzugehen, sondern Anzeige zu erstatten.
