Neues Virus verschlüsselt PCs

Veröffentlicht: Sonntag, 28. Februar 2016 14:12
Geschrieben von Gerard Rozing

Locky Virus - Vermeiden und was tun wenn der Rechner in Sippenhaft genommen ist

Es grassiert ein neues und gemeines Computervirus; Locky. Wenn der PC davon befallen ist, fängt dieses Virus an, alle Daten auf dem PC sowie auf angeschlossenen externen Laufwerken und sogar auf Netzwerk Disks, zu verschlüsseln. 

Das gemeine ist, dass man erst gar nicht merkt, dass der PC befallen ist. Erst nach einiger Zeit erscheint eine Mitteilung, in der man mitgeteilt bekommt, dass die Daten erst nach Bezahlung eines gewissen Betrags wieder freigegeben werden. In der Praxis erhält man der Schlüssel jedoch eher nicht. Es wird generell von einer Bezahlung abgeraten.

Diese Art Virus nennt man Ransomware oder Kryptoblocker. Hier ein paar Tipps, wie man Infizierungen vermeidet und was zu tun ist, wenn der Rechner befallen ist.

Allgemeine Hinweise zur "Good PC Practice"

Alle Software der PC soll immer auf dem letzten Stand sein. Die Verwendung von ältere Windows Versionen i.bes. XP wurde ich als fahrlässig bezeichnen. Für XP werden keine Sicherheit relevante Patches mehr bereit gestellt. Für Vista ist dieser Termin April 2017. 
Fuer Windows 7 ist der sog. Mainstream Support eingestellt, d.h. es werden keine neue Features oder Funktionalitäten bereit gestellt. Bereitstellung von Sicherheit relevant updates lauft noch bis 2020. 

Wenn man sein PC noch nicht auf Windows 10 umgestellt hat, soll man das zügigist nachholen. Allerdings auch hier ist vorsicht geboten. Obwohl Microsoft das Upgrade auf W10 gratis anbietet und nach Test der vorhandenen Software, der PC/Laptop für geeignet hält, sollte man sich wirklich erst überlegen ein >7-8 Jahr altes Gerät zu ersetzen. Die Zuverlässigkeit der Bauteile i. bes. des Netzteils, Begrenzung der Diskspace und Speicher, die Qualität der Graphikausgabe und das Fehlen von moderne schnelle Anschlüsse (USB 3) führen dazu dass man mit dem PC, auch wenn das Upgrade auf W10 geklappt hat, nicht mehr glücklich wird und viel Ärger erlebt.

Trotz viele Unkenrufe über Microsoft, empfehle ich doch stark das sog. Office365 zu abonnieren. Für 69 Euro/Jahr erhält man eine Lizenz für Office 2016, Zugang zu den Microsoft Cloud, OneDrive und natürlich immer wieder Updates. Oder für 99 Euro/Jahr mit Lizenz für 5 PCs'. Jedoch hier ist auch zu bedenken, dass die PC Hardware auf den neuesten Stand sein sollte.


Firewall und Virenschutz

Der Firewall kontrolliert den Ausgang und Eingang von Daten auf der Rechner. In Prinzip versieht ein Firewall jede Anfrage vom PC nach aussen ins Internet mit ein Label und lässt nur solche Daten wieder rein welche dieses Label auch enthält. Der sog. Windows Firewall ist standardmässig in alle Windowsversionen vorhanden und ist ausreichend für diese Funktion. Meistens hat auch das Modem (DSL oder Kabel) eine Firewall Funktionalität. 

Der Datenverkehr wird über Ports (Türe) abgewickelt. Manche Ports müssen grundsätzlich offen sein. Z.B. Port 80 worüber die Internetabfragen abgewickelt werden. Andere gebrauchliche Ports sind 21 fuer FTP und 25 um Mails zu verschicken. Ein PC hat aber mehrere tausend Ports die normalerweise geschlossen sind. Aber irgendwelche Virussen die man sich eingefangen haben kann, setzen genau hier an: sie öffnen einen Port und schleusen auf diese Weise Schadcode auf der Rechner.

Virensoftware soll auf der Rechner installiert sein. Obwohl die meiste Anbieter, gratis Versionen deren Virensoftware anbieten und die auch gut funktionieren, empfehle ich dennoch dass man einen sog. Premium version kauft. Kosten sind 40-60 Euro. Aber man erhält Lizenzen für 3 PCs. Die bekannte Anbieter unterscheiden sich wenig wie viele Tests auch zeigen. Siehe z.B. diese Seite. Mancheiner installiert 2 oder mehr sog. Gratisversionen von Antivirus Software. Dafür kann ich nur warnen. Einer guten Virussoftware reicht; mehrere beharken sich gegenseitig.


 Regelmässiges Backup

Auch dieses Thema wird regelmässig vergessen. Aber in dem Moment, wenn man durch das Locky Virus seine Daten verliert, wird man froh sein noch intakte Backups zu haben. 

Man sollte sich aber eine vernünftige Backup Strategie zulegen. Eine Grundvoraussetzung sollte aber erfüllt sein; Betriebssystem und Daten befinden sich auf getrennte Partitions oder Laufwerke. Ein Laufwerk kann in zwei Bereiche unterteilt sein. Diese nennt man Partitions und haben eine eigene Buchstabe z.B. C: für den Bereich mit dem Betriebssystem und D: mit den Datenbereich. Mann kann aber auch durch Einbau eines zweiten Laufwerks in dem PC, den Datenbereich trennen von dem Betriebssystem Dateien. Allerdings macht Microsoft diese Auftrennung sehr schwierig da sie in dem sog. User (Benutzer) Verzeichnisse standardmaessig persönliche daten ablegt. Das Benutzer Verzeichnis ist immer ein Unterverzeichnis von das Windowsverzeichnis auf der C-Platte. 

Beim Backup sichert man die Daten auf der Datendisk oder -partition. Das User/Benutzer Verzeichnis sollte man extra Sichern. Acronis True Image ist ein weit verbreites Backup Program was man ohne Bedenken einsetzen kann. Eine Einführung in dem Programm hier wurde zu weit führen.

Nun zur Datensicherungsstrategie. Zuerst sollte man sich ein externes Laufwerk zulegen. Heutzutage bekommt man solche Laufwerke wie Sand am Meer. Eine 1 Terabyte Disk kostet so 50-60 Euro. Man schliesst das Laufwerk an einen freien USB port an der Rechner an. Das Laufwerk wird von PC oder Laptop automatisch erkannt und nach kurze Zeit steht das Laufwerk bereit.  Mit Acronis True Image spezifiziert man das Backup und führt es aus.

Um die obige Problematik mit dem Locky Virus zu vermeiden, sollte man das Laufwerk nachdem das Backup fertiggestellt wurde, wieder von dem Rechner trennen. Das ist zwar etwa lästig weil man immer wieder dran denken muss, das Backup nach eine gewisse Zeit zu wiederholen. Z.B. sollte man das Backup wochentlich machen. Wenn man aber das Backup Laufwerk aber am Rechner lässt, ist die Gefahr nicht denkbildlich, dass auch das Backup infiziert und verschlüsselt wird.

Wiederherstellungspunkt

Window hat einen Mechanismus zur Wiederherstellung von Vorgänger Versionen des Systems. Bei Windows 10 wird diese Systemsicherung 1x Woche und bei Installation von Updates automatisch durchgeführt. Dieses Systembackup wird Wiederherstellungspunkt genannt. Man kann auch eine Systemwiederherstellungspunkt manuell generieren. Wie das geht führt jetzt zu weit. Jedoch im Nachfolgenden wird davon ausgegangen dass so ein Wiederherstellungspunkt besteht.


 Wie vermeiden das PC von einem Virus infiziert wird

Bisher habe ich über allgemeine Massnahmen gesprochen. Jetzt geht es um den Mechanismen wie ein PC infiziert wird. Der wichtigste Weg ist via E-Mail. Wie E-Mail Verkehr funktioniert habe ich bereits auf eine andere Seite erklärt. Wichtig ist sich zwei Aspekten zu realisieren. 

Viele Anwendern realisieren sich der Unterschied zwischen den sog. Webmailer und PC Mailclient Programmen nicht. Im ersten Fall, wird ein Programm auf der Server des Providers verwendet und liest man seine E-Mails in einen Internet Browser wie Internet Explores, Firefox, Chrome oder Safari. D.h. auch die E-Mail Dateien die man liest befinden sich in dem Speicher bei dem Provider (z.B. Telekom, 1und1, STRATO, Host Europe und viele anderen). Erst dann wenn man irgendwelche Daten aus dem E-Mails runter lädt, kann man sie auf dem PC verwenden. Aber damit kann man sich auch Dateien die den Schadcode enthalten, reinholen.

Im zweiten Fall hat man ein Programm wie Outlook oder Thunderbird auf der PC installiert womit die E-Mails gelesen werden. In diesem Fall kann man die Dateien oder Links die mit einen E-Mail mitgeliefert downloaden oder anklicken. In dem Fall werden sie auf dem PC geöffnet und/oder ausgeführt und können somit schade anrichten. Bei verwendung von PC Clients müssen auch bestimmte Ports angeben werden, worüber man den E-Mail Verkehr abwickelt. Solche offene Ports sind grundsätzlich erforderlich. Heutzutage wird der Datenverkehr über diese Ports verschlüsselt abgewickelt.

Um der Gefahr der Virusinfektion Herr zu werden soll man grundsätzlich alle E-Mails, Faxmessages (PDF Datei) die man nicht angefordert hat, grundsätzlich direkt löschen. Bezwinge eure Neugierigkeit und sei rigorös. Das Virus Locky verbergt sich in Word und Exceldateien und seit jüngstem auch in Faxmessages als Skript.  

In Prinzip sollte man erwarten dass solche Messages abgefangen werden. Und das passiert auch. Providers wie oben erwähnt, filtern automatisch nach bestimmte Kriterien. Manchmal zu viel sodass man eigentlich hin-und-wieder der Spam Folder bei den Provider nachschauen sollte. Manchmal auch nicht sodass solche Mails im Posteingang auf der Server oder auf der PC landen. In so einen Fall muss man eigene Filter auf der Server definieren die den Standardfilter der Provider ergänzen. Auch die PC Clients wie Outlook erlauben durch eigene Regeln E-Mails abzuweisen und sie im Spam Ordner zu befördern oder zu löschen. Man kann diese Filter sehr restriktive formulieren. Allerdings sind alle Filter machtlos wenn ein E-Mail seriös aussieht.

Das Problem mit dem Locky Virus scheint zu sein, dass die Mails als authentisch von Telekom, PayPal oder andere Ähnliche Organisationen scheinen. Nochmal die Spielregel, wenn nicht angefordert oder bekannt weg damit. Wenn es wichtig wäre, meldet sich der Absender bestimmt nochmal.

Einen weiteren Möglichkeit ist der Digitale Unterschrift. Aber das ist ein weiterführendes Thema. Jedoch werde ich versuchen, jedes Mail mit Anhang digital zu unterschreiben so dass ihr weiss dass es von mir komt.


Word, Excel und Outlook schützen

Wie bereits erwähnt, das Virus tarnt sich als Macro in einen Word oder Excel Datei (mittlerweile auch in andere Dateien wie PDF oder ZIP; deshalb immer als Vorsichtsmassnahme, Dateien von unbekannte Herkunft nicht akzeptieren). MS Office bietet aber die Möglichkeit, die Ausführung von Macros in Word oder Excel Dateien zu unterbinden. 

Gehe über Datei, Optionen in das Sicherheitscenter auch Trust Center genannt. Öffne dort die Einstellungen für das Sicherheitscenter. In den Makroeinstellungen kann nun das Ausführen von Makros mit der Auswahl "Alle Makros ohne Benachrichtigung deaktivieren" blockieren. Sollte man auf der Nutzung von Makros angewiesen sein, bietet sich die Option "Benachrichtigung für alle Makros" an - damit ist jedes Makro auf Ihre Zustimmung angewiesen.