Achtung: neue Variante des Locky Trojaner bereits aggressiv unterwegs

Das Erpressungsprogramm Zepto ist eine Ransomware und quasi der neue Locky-Virus (Trojaner) und ein Bruder der neulich herausgebrachten Schadsoftware Bart. Zepto verschlüsselt die Dateien mit RSA-2048 und AES-128, macht sie unzugänglich und ersetzt nach dem Verschlüsselungsprozess den Desktop-Hintergrund mit einem Bild, welches Informationen über den Virus und den Vorgang auf dem Computer bereitstellt.

Während des Verschlüsselungsprozesses ersetzt der Virus (Trojaner) die Dateinamen mit langen Codes. Die Codes starten mit der ID des Opfers und enden mit zufälligen Zeichen und .zepto. Wenn die ID des Opfers beispielsweise A4E2H02F74165D00 lautet, dann wird die verschlüsselte Datei nach dem Schema A4E2H02F-7416-5D00-[4 zufällige Zeichen]-[12 zufällige Zeichen].zepto umbenannt.

Wie jeder andere lösegeldfordernde Virus bzw. Trojaner, wird auch hier in mehreren Ordnern eine Lösegeldforderung hinterlegt, wo Informationen über den Entschlüsselungsprozess zu finden sind. Die Datei ist dann gewöhnlich wie folgt benannt: _[2 Zeichen]_HELP_instructions.html und _[2 Zeichen]_HELP_instructions.txt. In dieser Datei wird angegeben, dass es für die Entschlüsselung der Dateien keine andere Möglichkeit als die Bezahlung des Lösegelds gibt, womit man den privaten Schlüssel und das Entschlüsselungsprogramm bekommt, gefolgt von Anweisungen, wie man mit Tor auf die Bezahlungsseite von Zepto gelangt. Auf der Bezahlungsseite steht zum Beispiel, dass der Locky Decryptor für einen Preis von 4 Bitcoins (zurzeit zirka CHF 2’500.-) zum Kauf angeboten wird. Die Mafia-ähnlichen Banden haben – nachdem sie erfahren haben, wie viele Opfer das Lösegeld bezahlt haben – den Preis massiv erhöht.

Zepto ist ein neuer Virus- bzw. Trojaner und bedauerlicherweise gibt es auch noch kein Gegenmittel. Es ist ausserdem sehr unwahrscheinlich, dass Schadsoftwareforscher in absehbarer Zeit ein Entschlüsselungsprogramm entwickeln werden. Schliesslich wurde Zepto von denselben Kriminellen entwickelt, die Locky erstellt haben. Dieser Schädling war und ist immer noch einer der erfolgreichsten Erpressungsprogramme und jedes Bestreben für die Erstellung von Entschlüsselungsprogrammen ist missglückt. Bedauerlicherweise scheinen die Cyberkriminellen zu wissen, was sie tun und nutzen ihre Programmierfertigkeiten zu ihrem Vorteil, denn für die schädlichen Programme scheint es keinerlei Lösung zu geben. Wenn Sie sich diesen Artikel durchlesen und Ihr Computer noch nicht infiziert ist, beachten Sie bitte folgende Schutzmaßnahmen:

• Sichern Sie regelmässig Ihre wichtigen Daten. Der Backup-Datenträger darf nicht dauerhaft mit dem Rechner verbunden sein, da er sonst ebenfalls verschlüsselt wird.
• Installieren Sie eine Anti-Malware auf dem Computer, um ihn vor schädlichen Viren zu schützen.
• Stellen Sie sicher, dass Ihr System von einem Virenscanner geschützt wird, der auf aktuelle Signaturen zurückgreift.
• Halten Sie Ihr System auf dem aktuellen Stand (vor allem Betriebssystem, Office, Browser und Plug-ins…..)
• Öffnen Sie keine suspekten E-Mails oder deren angehangenen Dateien! Cyberkriminelle verbreiten diesen Virus, indem sie irreführende Nachrichten an tausende E-Mail-Konten schicken und behaupten Rechnungen, Telefonrechnungen, Strafzettel, Lebensläufe oder ähnliche wichtige Dokumente zu liefern.
• Konfigurieren Sie Microsoft Office so, dass Makro-Code gar nicht oder erst nach einer Rückfrage ausgeführt wird.
• Lassen Sie Makro-Code nur bei Dokumenten aus vertrauenswürdigen Quellen zu – und auch nur dann, wenn es unbedingt notwendig ist.

 Wie verbreitet sich der Virus?

Wie bereits erwähnt, erstellen die Virenherausgeber gefälschte E-Mail-Konten, geben ihnen vertrauenswürdige Namen und verschicken offiziell aussehende Dateien, gewöhnlich Word-Dokumente. Die Gauner verstecken ihren schädlichen Code meist in einer Word-Datei namens „Invoice“, „Rechnung“ oder Ähnliches. Der schädliche Code wird dann mit der Makrofunktion von Word ausgeführt. Versuchen Sie das also zu vermeiden, wenn Sie nach dem Öffnen eines via E-Mail erhaltenen Word-Dokuments einen merkwürdig aussehenden Text sehen. Zudem können auch JS-Dateien versendet werden, welche den schädlichen Code bereits durch das alleinige Öffnen der Datei aktiviert.

Wir empfehlen im Allgemeinen keine Inhalte im Internet anzuklicken oder zu öffnen, wenn man sich ihrer Sicherheit nicht gewiss ist. Cyberkriminelle nutzen zahlreiche Maschen, um Computernutzer zu überlisten. Es kann ziemlich schwer fallen mit allen sicherheitsrelevanten Neuigkeiten auf dem Laufenden zu bleiben und so alle Infizierungsquellen zu kennen. Wir raten daher dringendst dazu den Computer mit einer Anti-Malware auszustatten, Daten zu sichern und von suspekten E-Mails und Webseiten fernzubleiben.

Wie man sich von Ransomware schützt

Der beste Schutz gegen diese Art von Angriffen ist man einfach selbst! Wenn die feindliche Datei in Ihren empfangenen E-Mails ist, insbesondere in Anlagen, reicht es einfach, diese nicht zu öffnen, um nicht infiziert werden. Wenn Sie noch kein Kunde eines Unternehmens sind, warum sollten Sie dann eine Rechnung dieser Firma erhalten? Warum sollten Sie ein Geschenk von einem Wettbewerb erhalten, an dem Sie gar nicht teilgenommen haben? So gibt es also viele „Anreize“, die von den Hackern verwendet werden, die Sie selbst vermeiden können.

Um einen Angriff zu antizipieren, sollte auch das Bewusstsein der Mitarbeiter erhöht werden. Jeder angeschlossene Mitarbeiter an das Netzwerk des Unternehmens kann durch eine Ransomware betroffen werden. Sie sollten sich auch permanent über die aktuellen Ransomware-Technologien informieren um die „Geiselhaft“ Ihrer wertvollen Daten zu vermeiden.

Was kann ich tun wenn mein PC einen Verschlüsselungstrojaner drauf hat?

Wenn der Rechner bereits infiziert ist, hilft nur noch eines: Trennen Sie den PC sofort vom Netzwerk um eine Verbreitung der Schad-Software zu verhindern. Ertappt man den Schädling auf frischer Tat, sollte man Windows umgehend herunterfahren oder notfalls den Stecker ziehen, um die Verschlüsselung zu stoppen. Anschliessend startet man den Rechner mit einer Antiviren-DVD und versucht den Schädling zu eliminieren. Oft kommt man nicht um eine saubere Neuinstallation herum. Die verschlüsselten Daten sind leider verloren, sofern Sie zuvor nicht regelmässig Backups vorgenommen haben. Zahlen Sie den Erpressern aber keinesfalls Geld. Es ist nicht gesagt, dass Versprochenes gehalten wird. Man kann in einem solchen Fall höchstens warten. Nach einer gewissen Zeit werden manchmal die Verschlüsselungsalgorithmen gefunden.

Windows legt automatisch Schattenkopien diverser Dateien an, aus denen man die bereits verschlüsselten Dateien mit etwas Glück wiederherstellen kann. Sie können versuchen, die Schattenkopien von einem sauberen System zu retten. Allzu grosse Hoffnungen sollte man sich allerdings nicht machen, da Zepto sämtliche Schattenkopien routinemässig löscht. Anscheinend sind auch Fälle bekannt, in denen dieser perfide Mechanismus nicht ausgelöst wurde.

Hilft das alles nichts, sollten Sie die verschlüsselten Dateien unbedingt aufbewahren. Oftmals wird nach einiger Zeit ein Weg bekannt, die Verschlüsselung der Erpressungs-Trojaner zu knacken – wie etwa im Fall von TeslaCrypt 2.

Sollten Sie mir diesen Vorsorgemassnahmen überfordert sein, so können Sie sich gerne an uns wenden. Wir helfen Ihnen dabei und zeigen Ihnen an Ihrem System wie Sie das einstellen und wie Sie sich verhalten sollen. Sie erreichen uns hier.

Verfasser: Daniel Burato

Quelle: teilweise blog.rowa.ch, krollontrack.de, dieviren.de