11.03.2016

Verschlüsselungstrojaner Locky

Was passiert und was steckt dahinter?

Seit Mitte Februar treibt ein Computerschädling mit bisher kaum dagewesener Schadwirkung weltweit sein Unwesen. Die Locky getaufte Ransomware verschlüsselt lokale und auf Netzlaufwerken befindliche Daten. Eine Entschlüsselung der Daten ist aufgrund der verwendeten starken Verschlüsselung (RSA-2048/AES 128) derzeit ohne den entsprechenden Schlüssel nahezu unmöglich. Um sich effektiv gegen diese Art von Bedrohung zu schützen und den Schaden möglichst minimal zu halten, empfiehlt es sich, einen ganzen Maßnahmenkatalog umzusetzen. Dieser setzt sich unter anderem aus anwenderbezogenen Punkten – wie Schulungen und Sensibilisierung der Anwender – sowie aus administrativen Tätigkeiten – wie ein funktionierendes Backup, ein restriktives Rechtemanagement und entsprechende Updatemechanismen – zusammen.

Die IT-Sicherheitswelt hat in der Vergangenheit bereits einiges an Computerschädlingen gesehen: ILOVEYOU (2000), MyDoom (2004), Sasser (2004), Conficker (2008), Stuxnet (2010), um nur einige zu nennen. Locky (2016) hat das Potenzial, sich in diese Liste einzureihen. Sicherheitsforscher und Hersteller von Sicherheitslösungen registrieren besorgniserregende Infektionsraten. Medienberichte über geschätzte 5.000 neu infizierte Systeme pro Stunde innerhalb der ersten 24 Stunden alleine in Deutschland zeigen deutlich das Gefahrenpotenzial. 

Bei Locky handelt es sich um einen Computerschädling vom Typ Ransomware. Ins Deutsche übersetzt spricht man von einem Erpressungstrojaner (engl. „ransom“ = Lösegeld). Diese Art von Malware schränkt den Zugriff auf das infizierte System und/oder darauf befindliche Daten ein und fordert ein Lösegeld, um diese Beschränkungen wieder zu entfernen. Im speziellen Fall von Locky handelt es sich um einen sog. CryptoLocker: Daten werden auf der lokalen Festplatte oder Netzlaufwerken verschlüsselt und sind für den Anwender nicht mehr verwendbar. Die eingesetzten Verschlüsselungsalgorithmen (RSA-2048-Kryptoschlüssel/AES-128-Verschlüsselung) sind nach aktuellem Stand nicht zu knacken. Für die Entschlüsselung der Daten wird der entsprechende Key benötigt. Laut Lösegeldforderung, die sich derzeit auf 0,5 Bitcoin (ca. 180 € bis 200 €) beläuft, werden die Daten nach einem entsprechenden Zahlungseingang mithilfe der anschließend zur Verfügung gestellten „Locky Decrypter“-Anwendung und des darin enthaltenen Keys wieder entschlüsselt.

Der allgemeinen BSI-Empfehlung, diese Summe nicht zu zahlen, sollte man folgen. Eine Entschlüsselung nach Bezahlung ist nicht garantiert und fördert diese Art der Kriminalität. (Es wird stattdessen empfohlen, mit einem Foto bei der Polizei Anzeige zu erstatten.) Die zunehmende Professionalität und strukturierte Vorgehensweise der Schadsoftware bestätigt einen Trend, der von IT-Sicherheitsexperten bereits seit längerem beobachtet wird.

Bisher war Schadsoftware meist unkoordiniert und primär von Vandalismus geprägt. Häufig war sie verbunden mit dem Klischee der Scriptkiddies, die trotz mangelnder Kenntnisse versuchen, in fremde IT-Netzwerke einzudringen oder sonstigen Schaden anzurichten. Jetzt steckt eine professionelle Industrie hinter den Angriffen, bei der viel Geld im Spiel ist und die weltweit agieren kann.

Vorgehensweise

Die Vorgehensweise von Verschlüsselungstrojanern ist immer ähnlich. Das Opfer fängt sich über unterschiedliche Wege den eigentlichen Schädling oder einen vorgelagerten Downloader für den Schädling ein. Klassische Wege sind E-Mail-Anhänge, manipulierte Webseiten, USB-Sticks etc. Sobald der Schädling auf dem System aktiv wird, beginnt er damit, Daten zu verschlüsseln. Im Fall von Locky sind nicht nur lokale Daten, sondern auch Daten auf Netzlaufwerken betroffen (auch nicht verbundene Netzlaufwerke). Potenziell gefährdet sind somit alle Daten, ob lokal oder auf dem Netzwerk, auf die der aktuell angemeldete Benutzer schreibenden Zugriff hat. Im Visier von Locky stehen über 150 verschiedene Dateitypen und spezielle Ablageorte.  

Die von Locky verschlüsselten Dateien werden nach dem Schema [unique_id][data_id].locky umbenannt. Nachdem die Daten verschlüsselt wurden, erscheint eine in der definierten Systemsprache verfasste Meldung über die Lösegeldforderung.

Verteilung

Ransomware wie Locky wird üblicherweise über groß angelegte Spam-Kampagnen mit infizierten Anhängen in Form von Office-Dokumenten oder .zip-Archiven verteilt. Der Anwender erhält eine täuschend echt aussehende E-Mail von einer validen, plausiblen bzw. seriös aussehenden Absenderadresse. Auch der Inhalt dieser E-Mails ist mittlerweile grammatikalisch korrekt und ohne Rechtschreibfehler verfasst. Aufgrund dieser zunehmend professionellen Vorgehensweise wird es sowohl für Antispam-Regelwerke als auch für einen normalen Anwender immer schwieriger, gefährliche von echten E-Mails zu unterscheiden. Wird der Anhang einer solchen Mail geöffnet, erscheint zunächst kein bzw. nur kryptischer Textinhalt. Je nach Sicherheitseinstellung der Office-Anwendung wird eine Makro-Sicherheitswarnung eingeblendet oder das Makro direkt im Hintergrund gestartet. Wurde das Makro automatisch im Hintergrund gestartet, lädt dieses den eigentlichen Trojaner vorbei an Sicherheitssystemen auf den Rechner herunter und führt ihn aus. 

Besonders hinterhältig sind Dokumente mit einer angepassten Kopfzeile. In dieser stehen dann z.B. Inhalte wie „Wenn das Dokument nicht korrekt angezeigt wird, aktivieren Sie bitte das Makro“.

Neuerdings wird Locky auch als JScript-Datei verteilt. Die JScript-Datei wird hierbei in ein .zip-Archiv verpackt und wie beim Versand der Office-Dokumente als Anhang einer E-Mail versendet. Die .js-Dateien verbinden sich nach dem Ausführen zu den im Hintergrund laufenden Servern und laden Locky von dort auf den Rechner, um anschließend mit dem Verschlüsseln der Daten zu beginnen. Eine ähnliche Vorgehensweise konnte gegen Ende des letzten Jahres bereits bei einer TeslaCrypt getauften Ransomware beobachtet werden. 

Als weiterer Verteilungskanal wird Locky mittlerweile auch als Payload nach einem Angriff durch Exploit-Kits verbreitet. Exploit-Kits infizieren Benutzer durch sog. Drive-by-Infektionen. Wie der Name vermuten lässt, laufen diese Angriffe „im Vorbeigehen“ und meist vom Anwender unbemerkt ab. Hierbei spähen zunächst (meist) manipulierte Webseiten die Konfiguration des Geräts auf verwundbare Anwendungen aus. Interessante Informationen liefern unter anderem das verwendete Betriebssystem, der verwendete Browser, die installierten Browserplugins und deren jeweilige Versionsnummer bzw. der Patchstand.

Wird für die ausgespähten Informationen eine Sicherheitslücke entdeckt, wird im nächsten Schritt ein passender Exploit an den Client gesendet und ausgeführt. Die so gefundene Sicherheitslücke kann ausgenutzt werden, um z.B. weiteren Schadcode auf den Rechner zu laden und auszuführen. Auch wenn wir gerade nur von Locky reden, kann über den Weg, den der Schädling ins System findet, natürlich noch weitere Schadsoftware nachkommen.

Ablauf

Nachdem Locky erst einmal über einen der genannten Wege auf das System geladen und dort ausgeführt wurde, scannt er alle angeschlossenen und nicht verbundenen Laufwerke und Partitionen auf die für ihn ca. 150 interessantesten Dateitypen. Hierzu gehören u.a. alle gängigen MS-Office-Dateitypen, Bilder, Videos und sogar Bitcoin Wallets.

Locky arbeitet getarnt als svchost.exe aus dem %temp%-Verzeichnis unter dem Benutzerkontext, mit dem er ausgeführt wird. Locky kann also sämtliche Dateien, auf die der aktuell angemeldete Benutzer schreibend zugreifen kann, manipulieren. Neben der Einschränkung auf verschiedene Dateitypen schließt Locky auch weitere Ablageorte/Zeichenketten von der Verschlüsselung aus. Wenn der Pfad oder der Dateiname eine der folgenden Zeichenketten (Strings) enthält, wird die Datei nicht verschlüsselt: tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot und Windows. Hierdurch ist prinzipiell ein normaler Systemstart möglich.

Um mit der eigentlichen Verschlüsselung zu beginnen, benötigt Locky eine Verbindung zu einem Comand-and-Control (CnC)-Server, der im Hintergrund läuft. Während dieser Kommunikation findet der Schlüsselaustausch für die spätere Verschlüsselung statt. Jeder betroffene Rechner bekommt in diesem Zuge eine eindeutige, 16-Byte-stellige, hexadezimale ID.

An dieser Stelle zeigt sich erneut, wie weit fortgeschritten die Entwickler der Schadsoftware mittlerweile sind. Es wird für genau diese individuelle ID eine Lösegeldforderung mit dem verknüpften Entschlüsselungskey generiert. Die so zur Verfügung gestellte Möglichkeit, die Daten zu entschlüsseln, funktioniert somit nur an genau diesem Rechner mit der dafür vorgesehenen ID und dem dahinterliegenden Verschlüsselungskey.

Verschlüsselung

Locky verwendet zur Verschlüsselung der Daten die Verschlüsselungsalgorithmen RSA-2048 für den Kryptoschlüssel (der RSA Key wird verwendet, um die AES-Schlüssel zu verschlüsseln) und AES 128 für die eigentliche Verschlüsselung. Unter Berücksichtigung der genannten Dateitypen, Dateinamen und Pfade generiert Locky eine Liste mit den zu verschlüsselnden Dateien.

Nachdem alle Dateien in die Liste aufgenommen wurden, beginnt die eigentliche Verschlüsselung. Der aktuelle Verschlüsselungsfortschritt wird ebenfalls in der Liste geführt und in regelmäßigen Abständen an den Command-and-Control-Server übermittelt. Die von Locky verschlüsselten Dateien werden nach dem Schema [unique_id][data_id].locky umbenannt.

Lösegeldforderung

Nachdem alle Dateien verschlüsselt wurden, wird eine in der definierten Systemsprache (GetUserDefaultUILanguage) verfasste Meldung über die Lösegeldforderung vom CnC-Server heruntergeladen. Auf Basis dieser Textdatei wird anschließend ein Bild gerendert und per Registry Key als Bildschirmhintergrund eingerichtet. Wie bereits erwähnt wird in diesem Dokument mit der individuellen ID und einem individuellen Link gearbeitet.

Dieser Link führt den betroffenen Anwender in die dunklen Ecken des Internets, das sog. Tor-Netzwerk. Die ursprüngliche Idee des Tor-Netzwerks war es, z.B. politisch Verfolgten oder gefährdeten Personen wie Reportern die Möglichkeit zu bieten, anonym und ohne Spuren zu hinterlassen zu kommunizieren. Diese Möglichkeit, anonym zu agieren, missbrauchen mittlerweile jedoch immer mehr Kriminelle. Hinter dem Link verbergen sich die eigentliche Lösegeldforderung in Form der digitalen Währung Bitcoin, verschiedene Hinweise und Erklärungen zum Thema Bitcoin und entsprechende Bezugsquellen. Ein Bitcoin wird an den sog. Bitcoin-Börsen aktuell für ca. 380 € gehandelt. Bei einer aktuellen Lösegeldforderung von 0,5 Bitcoin entspricht das ca. 180 € bis 200 €.

Nach dem Zahlungseingang soll sich laut Webseite das Tool „Locky Decrypter“ herunterladen lassen. Ob es sich hierbei wirklich um ein Tool handelt, das die durch Locky verschlüsselten Daten entsperrt, ob überhaupt etwas passiert oder es sich nur um einen weiteren Trojaner handelt, lässt sich an dieser Stelle nicht zu 100% verifizieren. Meldungen über betroffene Anwender, die sich auf diesem Weg ihre Daten freigekauft haben, liegen zumindest vor. Auch diese Entwicklung ist ein weiteres Zeichen für die zunehmende Professionalität der Kriminellen. Bisher war die Wahrscheinlichkeit, mit der Zahlung der geforderten Lösegeldsumme seine Daten zurückzubekommen, eher gering. Mittlerweile bzw. im Fall von Locky scheinen die Chancen allgemein relativ hoch zu sein. Ziel der Entwickler der Schadsoftware ist es, dass sich diese Tatsache unter den Betroffenen herumspricht und diese somit eher bereit sind, die geforderte Summe zu bezahlen.

Die Tatsache, dass ein Teil der Betroffenen den Lösegeldforderungen nachkommt, ermutigt die Kriminellen oder Nachahmer, immer weiterzumachen. Auch wenn die zur Verfügung gestellte Software vermeintlich die verschlüsselten Daten wieder entschlüsselt, ist es als Anwender schwierig bis nahezu unmöglich zu erkennen, ob nicht vielleicht durch das Ausführen dieser Anwendung bzw. bereits im vorangegangenen Verlauf weitere Schadsoftware installiert wurde. Diese kann z.B. zeitversetzt damit beginnen, erneut Daten zu verschlüsseln oder zu löschen. 

Daher an dieser Stelle noch einmal der Hinweis: Mit Erpressern oder Kriminellen wird nicht verhandelt! Einmal befallene Systeme werden komplett neu aufgesetzt. Idealerweise kann die verschlüsselte Festplatte des Geräts getauscht und aufbewahrt werden. Fälle aus der Vergangenheit haben gezeigt, dass es den Herstellern von Sicherheitslösungen im weiteren Forschungsverlauf häufig gelingt, Möglichkeiten zu finden, die betroffenen Daten zu retten. 

Bei mehr Interesse zum Thema schauen Sie wieder in unserem Blog vorbei. Wir veröffentlichen demnächst weitere Artikel zu Locky und Maßnahmen, die getroffen werden können – entweder vor dem Befall oder auch wenn es schon zu spät ist.  

Falls Sie akut Hilfe brauchen, melden Sie sich bitte über die Kontaktmöglichkeit auf unserer Website.

Daniel Heberlein
Consultant

Unsere Blogs