psdesign1 - Fotolia

F

Wie die Ransomware Locky per LNK-Dateien verbreitet wird

Die Ransomware Locky ändert immer wieder die Verbreitungswege, um neue Systeme zu infizieren. Inzwischen wird die Malware aus LNK-Dateien nachgeladen.

Die Ransomware Locky entwickelt sich kontinuierlich weiter. So haben Sicherheitsforscher entdeckt, dass die Schadsoftware nicht mehr so häufig per WSF-Dateien, sondern in Phishing-E-Mails via LNK-Datei verbreitet wird. Laut Microsoft gelingt es der Ransomware so immer öfter, nicht entdeckt zu werden. Wie unterscheiden sich die Verbreitungswege und wie können Sicherheitsteams darauf reagieren?

Im Laufe der Zeit wurde Locky immer wieder angepasst, um auf entsprechende Verteidigungsmaßnahmen in Unternehmen zu reagieren. Die Infektion neuer Systeme als kontinuierliche Einnahmequelle ist die Motivation der Malware-Autoren sowie des Locky-Ökosystems. Die Malware-Autoren sind sich bewusst, dass die meisten Systeme Schwachstellen aufweisen. Ihr Ziel ist es, den Benutzer zum Klick auf die Anlage einer E-Mail zu verleiten.

Über eine geraume Zeit wurde hat Locky WSF-Dateien als Transportmittel für die Malware Nemucod verwendet. Diese Windows Script Files werden vom Windows Scripting Host geöffnet. Daraufhin können beispielsweise JScript oder VBScript ausgeführt werden. LNK-Dateien sind hingegen Verknüpfungen zu ausführbaren Dateien. Sie können PowerShell-Befehlszeilenargumente enthalten, um die Malware herunterzuladen. Unternehmen, die WSF-Dateien scannen und blockieren, um die Ransomware abzuwehren, tun dies wahrscheinlich nicht mit LNK-Dateien.

Abwehrmaßnahmen anpassen

Locky findet weiterhin häufig per Spam Verbreitung. Daher sollten Sicherheitsteams sicherstellen, dass ihre Lösungen Spam, Phishing und Schadanhänge bestmöglich abwehren. ZIP-Dateien sollten daraufhin untersucht werden, ob sie LNK-Dateien enthalten.

Zudem kann es eine gute Idee sein, mit Whitelists für erlaubte Dateianhänge zu arbeiten. So kann sichergestellt werden, dass die Sicherheitslösungen die erlaubten Anhänge auf Makros und Schadcode hin überprüft werden. Apropos Makros, hier lässt sich Microsoft Office sehr granular festlegen, ob und wann deren Ausführung erlaubt ist. Nicht zwangsweise muss man gleich Makros komplett deaktivieren, wenn diese Möglichkeit jedoch besteht, reduziert sich die Angriffsfläche deutlich.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

So arbeitet der Erpressungstrojaner Locky

Die Tools gegen Ransomware richtig einsetzen und konfigurieren

Office 365: Viren- und Spamschutz richtig konfigurieren

Best Practices: Ransomware verhindern oder eindämmen

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close