Horus Infopoint: Locky-Virus

Was ist der Locky-Virus?

Der aktuell kursierende Locky-Virus verbreitet branchenübergreifend Angst und Schrecken.
Getarnt als vermeintlich harmlose Email – teils mit persönlicher Anrede – kann er nach Öffnen des Email-Anhangs ein Windows System sofort infizieren. Einmal im System fängt er sofort an, nach verschiedenen Dateitypen zu suchen und diese zu verschlüsseln!

Warum ist er so gefährlich?

Das harmlose und durchaus professionelle Aussehen der Emails verleitet Empfänger dazu, das angehängte Word- oder PDF-Dokument zu öffnen. Sobald dies geschehen ist, wird aktiv in den Laufwerken des Systems – inklusive aller verbundenen Netzlaufwerke – nach gängigen Dateitypen gesucht. Derzeit ist der Locky-Virus in der Lage mehr als 160 bekannte und tagtäglich genutzte Dateien zu verschlüsseln. Von einfachen MS Office-Dokumenten, Photoshop-, Video- und Bilddateien bis hin zu SQL-Datenbanken und Sourcecodes – alles wird von Locky verschlüsselt und unbrauchbar gemacht. Die Dateien werden mit einem 2048 Bit RSA Key und/oder einem 128 Bit AES Key verschlüsselt. Ein manuelles Entschlüsseln ist so nahezu unmöglich oder würde einen erheblichen Ressourcen- und Zeitaufwand bedeuten. Untragbar für unternehmenskritische Dokumente!

Für den Prozess der Verschlüsselung bedient sich Locky der Windows-eigenen CryptoAPI. Auf diese Weise ist der Virus auf jedem aktuellem Windows System lauffähig. Dateien, die das Windows System für den Betrieb benötigt, werden aber nicht angerührt – denn nur so kann der Nutzer den letzten Schritt ausführen.

Die Zahlungsaufforderung!
Hat Locky alle Verschlüsselungsprozesse beendet, wird ein Bild einer Textdatei als Desktophintergrund eingerichtet. Dort ist, wie im nachfolgenden Bild dargestellt, eine Zahlungsaufforderung sowie eine Anleitung hinterlegt.

Locky-Desktop

Die Zahlung soll mit der Bitcoin Währung getätigt werden, es ist also nicht nachzuvollziehen wo das Geld letztendlich hinfließt. Sobald die Zahlung auf der Webseite durchgeführt wurde, bekommt der Benutzer ein dynamisch generiertes Entschlüsselungsprogramm zum Download bereitgestellt. Allerdings ist bekannt, dass selbst wenn gezahlt wurde, die Dateien nicht oder nur teilweise entschlüsselt werden konnten.

Locky-How2Buy

Wie schützt man sich gegen den Locky-Virus?

Viele gehen dazu über und erstellen dedizierte Backups von kritischen Systemen. Dies muss meist manuell gemacht werden und bedeutet je nach Unternehmensgröße enormen Zeitaufwand. Hinzu kommt, dass diese Speichermedien nicht im Netzwerk erreichbar sein dürfen. Die nötigen Ressourcen in Form von Festplatten müssen auch erst einmal zur Verfügung stehen.

Dies ist eine rein reaktive Methode mit ungeheurem Arbeitsaufwand, um auf Locky zu reagieren, wenn es schon zu spät ist.

Es gibt jedoch Möglichkeiten sich proaktiv gegen Locky zu schützen und zur Wehr zu setzen – Hier kommt Forcepoint mit den Triton APX Produkten ins Spiel!

Forcepoint bietet über die gesamte, sogenannte „Kill Chain“ Schutz gegen Schadsoftware und unangebrachten Inhalten jeglicher Art.

killchain

Locky greift fokussiert auf 3 Stufen der „Kill Chain“ zurück: Lure, Dropper File und Call Home.

Der Lure beschreibt die E-Mail, die den schädlichen Anhang enthält. Hier würde AP-EMAIL den Anhang analysieren und gemäß gesetzter Richtlinie darauf reagieren. In Kombination mit dem Sandboxing-Modul sind Sie sogar in der Lage sich zukünftig vor eventuell unbekannten „Zero-Day“-Bedrohungen zu schützen! E-Mails inklusive Anhängen werden in geschützten Sandbox Umgebungen ausgeführt und analysiert – sollte etwas nicht bekannt sein und AP-EMAIL nicht in der Lage sein eine Sicherheitsklassifizierung durchzuführen wird automatisch Ihr Security-Team benachrichtigt!

Das Dropper File ist der eigentliche, infizierte Anhang der Email. Um möglichst viele Virenscanner und Firewalls zu umgehen und zu täuschen ist der Virus sehr schmal gehalten. Dadurch ist es nötig, dass der Virus über Kommunikation mit einem Command-and-Control Server Updates und Instruktionen erhält. Triton AP-WEB erkennt diese Kommunikation und unterbindet sie. Zusätzlich ist es möglich auf bestimmte, kritische Ereignisse ein mehrstufiges Alarm- und Eskalationssystem zu starten. Auf diese Weise weiß Ihr Security-Team sofort was in Ihrem System los ist.

Der Call Home wird dafür genutzt, um gesammelte Daten zum Command-and-Control Server zu schicken. Dies geschieht um dynamisch Bitcoin Wallets und einen „Account“ für den Betroffenen zu generieren, sodass der Zahlungsprozess eingeleitet werden kann. Auch diese Aktion wird von Triton AP-WEB erkannt und unterbunden. Die dynamisch generierten URLs über die Locky kommuniziert werden analysiert, klassifiziert und geblockt.

Bisher ist Forcepoint der einzige Hersteller, dem es gelungen ist ein „reverse engineering“ des Locky-Virus durchzuführen. Es ist also genau bekannt wie der Virus funktioniert und wie man ihn erkennt – egal wie sehr er sich weiter entwickelt.

Mit den Triton APX Produkten werden Sie dazu befähigt, Ihr Unternehmen und Ihre Mitarbeiter gegen jegliche Bedrohungen die auf Ihre sensiblen Daten zielen zu schützen. Jedes Produkt einzeln ist ein mächtiges Werkzeug – kombiniert verwandeln sie Ihr Netzwerk in eine nahezu uneinnehmbare Festung!

Für weitere Informationen kontaktieren Sie uns bitte wie gewohnt unter

+49 (0) 2642 – 99 82 - 0

oder

Viele Grüße aus Remagen,
Ihr Horus-Net Team

 

 

News vom 04 März 2016