ISO 9001 zertifiziert

FacebookGoogle PlusTeamViewer
Schutz und Hilfe gegen den Trojaner Locky
[art_file_alt not found]

Krypto-Trojaner Locky wütet auf der ganzen Welt

Wir gehen mal davon aus, dass mittlerweile jeder von dem aktuellen Verschlüsselungstrojaner Locky gehört hat. Bekannt aus Radio und Fernsehen hat dieser Trojaner in Deutschland, Europa und auch auf anderen Teilen der Welt zugeschlagen.

Das Ergebnis eines Befalls waren mehr als 1.000.000 verschlüsselte Dateien auf der lokalen Festplatte sowie auf allen Netzlaufwerken, auf welche der Benutzer Zugriff hatte. Netzlaufwerke mussten nach unserer Erfahrung beim Kunden nicht mal am Client eingebunden sein, eine Netzwerkfreigabe reichte schon aus.

Wie bei fast jedem Wurm oder Trojaner kam Locky per Mail und hat sich über die Schwachstelle Benutzer im Netzwerk eingesiedelt und verbreitet. In diesem Fall war es eine Mail mit einem Word Dokument mit Makro-Code, welcher dann den Trojaner aus dem Internet nachinstallierte. Weitere PCs oder Server konnte der Trojaner nicht infizieren, aber ein infizierter Client im Netz reicht aus, um den Betrieb zum Erliegen zu bringen. Spätestens dann, wenn ein Großteil der wichtigen Programme oder Dokumente verschlüsselt sind.

Hier hilft nach einem Befall nur eine Neuinstallation der betroffenen Systeme und das Rücksichern der unverschlüsselten Dateien. Parallel zum Verschlüsseln der Dateien lädt sich Locky aus dem Internet weiteren Schadcode herunter und installiert für seinen Schöpfer zum Beispiel eine Backdoor auf dem Rechner, um Zugang von außen auf das infizierte System zu erhalten.

Wie kann ich mich vor Trojanern wie Locky schützen?

Zwei Virenscanner gleichzeitig installiert zu haben ist keine gute Idee - und schützt auch nicht vor Locky

Eine wichtige Frage, die wir in den letzten Wochen oft gehört haben. Die Anzahl der Trojaner nimmt stetig zu. Durch sehr ausgereifte und intelligente Systeme können Sie das Eindringen eines Trojaners verhindern. Doch ein guter Virenscanner reicht hier allein oft nicht aus. Die Entwickler der Schadcode-Software werden immer besser und schneller.

Im Fall Locky war die Befall-Rate in den ersten Stunden sehr hoch. So schnell konnten die Hersteller der Antivirenprogramme nicht reagieren – es waren schon einige 100.000 Clients infiziert. Also benötigt man mehr Intelligenz am Gateway oder im Anti-Spam Produkt. Ein reines Prüfen auf Basis von Pattern wie es ein Antiviren Software Hersteller macht, kann einen Virus der gerade ausgebrochen ist nicht Einhalt gewähren.

Die Lösung:

Mit Hilfe unserer Partner und Herstellern wie Fortinet und TrendMicro können wir Ihnen einen höchstmöglichen Schutz bieten. Die Kombination mehrerer Produkte ist in unseren Augen die beste Lösung vor aggressiven Krypto-Trojanern wie Locky.

FortiGate Firewall Systeme:

Unsere Fortigate Firewall Systeme können den kompletten Datenverkehr nach Viren prüfen und auch Botnetz Server blocken. Botnetz Server werden benutzt um Viren, Trojaner und anderen Schadcode zu verteilen. Bei der Analyse des befallenen Systems konnten wir zum Beispiel erkennen, dass Locky versucht über den Port 20050 eine Verbindung in das Internet zu öffnen. Daher sollten Sie Ihre Firewall nicht komplett von intern nach extern öffnen. Im Fall Locky hilft diese Vorgehensweise, da Sie so den Backdoor Zugriff auf das befallene System unterbinden können.

Doch die Next Generation Firewall (NGF) Systeme bieten noch mehr Schutz und können mit IPS Signaturen auch Schwachstellen, zum Beispiel in Flash Anwendungen beim Endanwender, schützen, falls eine Webseite über diese Schwachstelle versucht, Schadcode auf dem Client zu installieren.

http://de.fortinet.com/products/fortigate/

FortiMail Anti-Spam Systeme:

Die Fortimail als reines Anti-Spam Produkt prüft Ihre E-Mails. Die Prüfung ist wesentlicher tiefer und genauer als manch ein anderes Anti-Spam Produkt. Man kann bspw. auf Content Ebene Office Dokumente inhaltlich auf Makros überprüfen, auch wenn diese vorher gezippt wurden und diese dann zum Beispiel direkt abweisen, während wir normale Word und Excel Dokumente erlauben. Diese genaue Inhaltsüberprüfung gibt Ihnen einen besseren Schutz, als andere Hersteller. Man muss nicht alle Word oder Excel Dokumente sperren, sondern kann die Dokumente ohne Makros durchlassen.

http://de.fortinet.com/products/fortimail/

FortiSandBox Systeme:

Ein weiteres Highlight ist die FortiSandbox. Die Sandbox muss man sich vorstellen wie einen virtuellen „dummen“ Anwender, der auf alles klickt, was er an E-Mail Anhängen bekommt. Auf einem virtuellen Windows PC in einer abgesicherten Umgebung wird der Anhang der Datei ausgepackt und gestartet. Word Dokumente etc. werden geöffnet und es zeitgleich wird überprüft, ob auf dem System etwas passiert. Wie zum Beispiel, dass Verbindungen ins Internet geöffnet werden und darüber versucht wird, weitere Programme zu installieren. Mit dieser Lösung sind Sie auch in der Lage noch gänzlich unbekannte Trojaner hervorragend zu erkennen und Ihre Anwender und Daten zu schützen. Die FortiSandBox Lösung kann als Hardware sowie virtuelle Maschine gekauft oder als Cloud Lösung angemietet werden. Die Sandbox kann in eine FortiGate wie auch in eine FortiMail Appliance integriert werden.

http://de.fortinet.com/products/fortisandbox/advanced-threat-protection-appliances.html

Die Kombination macht’s!

Die Tage, wo ein reiner Virenscanner den kompletten Schutz für Ihr Unternehmen bietet, scheinen gezählt zu sein. Die Angriffe werden gezielter, genauer und gefährlicher. Mit unseren Produkten und denen unserer Partner kombiniert mit unserem Know-How, können wir Sie und Ihr Unternehmen schützen. Versuchen Sie nicht den Endanwender mit Warnungen und Mails zu verunsichern, was und wie er E-Mail Anhänge aufmachen oder lesen kann. Der Mensch ist und bleibt in dem Geschäft der Viren und Trojaner die größte Gefahr.

Alles in allem bleibt natürlich auch der gute alte Virenscanner ein wichtiger Baustein Ihrer Security Lösung und ergänzt die Funktionalitäten der Fortinet Systeme optimal. Wir vertrauen seit Jahren auf den Hersteller TrendMicro und haben mit Ihm ausschließlich gute Erfahrungen gemacht.

Gern beraten wir Sie in Bezug auf den bestmöglichen Schutz Ihres Unternehmens vor Schadsoftware und Hackerangriffen. Vereinbaren Sie kurzfristig einen Termin mit unseren Spezialisten, bevor der nächste Trojaner kommt!


Marco Bockelbrink - primeLine Systemhaus

Marco Bockelbrink

System und Projektberatung

Tel.: +49 5731 8694-410

Marco Bockelbrink

Systemhaus Blog aktuell

Kostenfalle Server 2016

14.02.17 - Seit September 2016 ist der Microsoft Server 2016 erhältlich.weiterlesen ... .

E-Mail-Archivierung

06.12.16 - Die Uhr tickt. Die letzten Übergangsfristen laufen ab.weiterlesen ... .

Rückblick primeLine Systemhaus

28.11.16 - Der zehnte und letzte IT-Stammtisch des Jahres war geprägtweiterlesen ... .

primeLine Solutions GmbH

Hinter dem primeLine Systemhaus steht die primeLine Solutions GmbH mit Fokus auf der Integration von IT Systemen - vom Mini PC bis zum Server Cluster.

zur primeLine Solutions

primeLine Solutions