Back to top

Verschlüsselungs-Trojander Locky: Schutz ist möglich

Sicherlich haben Sie schon von den Verschlüsselungs-Trojanern „Locky“ und Konsorten gehört. In den letzten Wochen haben die Verschlüsselungs-Trojaner tausendfach Rechner befallen und dabei unter anderem auch Daten von Krankenhäusern und städtischen Verwaltungen verschlüsselt und unbrauchbar gemacht.

Wie konnten trotz Firewall- und Antivirus-Lösungen so viele Rechner befallen werden?

In der Vergangenheit sind die gefälschten E-Mails mit ungewöhnlichen Formulierungen und kruden Sätzen gleich aufgefallen. Die aktuellen E-Mails sind dabei sehr glaubhaft formuliert und tarnen sich als vermeintliche Rechnung, DHL-Versandbestätigung oder als Bewerbung, dass selbst versierte Internetanwender auf die gut gemachten E-Mails hereinfallen. In einer ganz perfiden Masche haben die Betrüger die Absenderadresse der E-Mail gefälscht. Die E-Mail gibt vor, von einem Netzwerk-Kopierer aus dem eigenen Unternehmen verschickt worden zu sein. Ist der Anhang einer solchen E-Mail erst geöffnet, ist der Rechner auch schon befallen.

Ein weiterer Grund für die weite Verbreitung der Erpressungs-Trojaner liegt in der Natur der Antivirus-Lösungen. Diese sind auf sogenannte Signaturen der schadhaften Programme angewiesen. Über diese digitalen Fingerabdrücke der Viren können die schadhaften Programme erkannt werden. In dem Katz- und Mausspiel der Erkennung hängen die Hersteller der Antivirus-Lösungen den Angreifern immer einen Schritt hinterher. Die neue Schadsoftware muss bekannt sein, ein Fingerabdruck genommen werden und dieser dann per Update an die Antivirus-Programme auf den Computern verteilt werden. Nehmen die Angreifer an ihrem Virus nur minimale Änderungen vor, ändert sich auch gleich der Fingerabdruck und der Prozess startet von vorne. Alleine im März 2016 hat der Hersteller avast! über 15 Millionen neue Signaturen in seine Datenbank hinzugefügt.

Neuer Ansatz: ein Sandsturm zieht auf

Einen neuen Ansatz verfolgt Sophos mit der Lösung „Sandstorm“. Statt immer einen Schritt hinter her zu hinken, ist Sophos nun einen Schritt voraus. Die Erpressungs-Trojaner Locky und Co. hätten mit Sophos Sandstorm verhindert werden können. Was ist neu an dem Ansatz der Sandstorm-Prüfung?

Die Prüfung erfolgt in 3 Schritten. Wird ein Anhang oder eine Datei im Internet von der klassischen Antivirus-Prüfung der Sophos als harmlos eingestuft, wird die Datei nochmals von Sandstorm in 3 Schritten geprüft: Anhand des digitalen Fingerabdrucks der Datei wird geprüft, ob die Datei von Sandstorm schon einmal gescannt wurde. Ist die Datei schon einmal als harmlos eingestuft worden, wird dies anhand des Fingerabdrucks erkannt und Sie können sorgenfrei mit der Datei arbeiten. Stellt sich heraus, dass der digitale Fingerabdruck der Datei neu ist, wird die Datei umgehend von Sandstorm geprüft. Mit der leistungsstarken cloudbasierten Next-Generation-Sandbox-Technologie wird die Datei in verschiedenen Betriebssystemen ausgeführt und beobachtet. Wird dabei schadhaftes Verhalten festgestellt, wird der Fingerabdruck der Datei sofort gesperrt und die Datei nicht freigegeben. Versucht Ihre Kollegin nun die gleiche schadhafte Datei abzurufen, wird diese Dank des digitalen Fingerabdruckes auch hier sofort erkannt und der Zugriff wird gesperrt.

Fazit

Mit der Sophos Sandstorm Sandbox-Technologie erhalten Sie eine Art digitalen Herdenschutz. Je mehr Firmen auf die neue Technik setzen, desto besser sind Sie geschützt. Bei einer Prüfung wäre der Locky-Trojaner sofort durch schadhaftes Verhalten aufgefallen und die Datei wäre nicht freigegeben worden. Sophos Sandstrom hätte eine Verschlüsselung der Dateien verhindern können. Dabei ist die neue Technik so einfach zu implementieren wie sie in der Handhabung ist. Sophos Sandstorm ist komplett in Ihre Sophos-Sicherheitslösung integriert, kann in wenigen Minuten aktiviert werden und schon sind Sie vor noch unbekannten Angriffen geschützt. Testen Sie jetzt 30 Tage kostenlos die neue Technik. Nach Ablauf der 30 Tage erhalten Sie zudem einen detaillierten, ereignisorientierten Report und können sich selbst von der Technik überzeugen

Ich schreibe hier regelmäßig über Neuigkeiten und technische Entwicklungen. Darüber hinaus betreue ich auch den Twitter-Account @hosysteme. Als der Ansprechpartner für Marketing und Webseiten beantworte ich gerne auch Ihre Fragen. Folgen Sie mit bei Twitter @elbym oder erreichen Sie mich telefonisch im Büro.