Auge: Fragen zu Locky bzw. Zepto Trojaner

Beitrag lesen

Hallo

Laut meiner Recherche gibt es absolut keine Möglichkeit wieder an die Daten ranzukommen. Stimmt das so?

muss man wohl so sehen. Eine Verschlüsselung, die relativ leicht zu knacken ist, wäre ja IMO auch ziemlich wertlos.

Und dennoch lassen sich die verschlüsselten Dateien bei einigen der Erpressungstrojaner wieder entschlüsseln, ohne das Schutzgeld zu zahlen, weil die Programmierer Fehler gemacht haben. Locky bzw. sein Verwandter Zepto gehören meines Wissens nach aber nicht zu dieser Gruppe.

Nun speichert „Back in Time“ die Nutzdaten ja nicht 1:1 sondern baut sein eigenes Verzeichnissystem auf, weil ja hier eine inkrementelle bzw. differentielle Datensicherung erfolgt. Schützt mich dieser Verzeichnisaufbau von „Back in Time“ vor Locky bzw. Zepto oder laufe ich bei dieser Konstellation Gefahr, dass Locky bzw. Zepto auch die Backups verschlüssen?

Das schützt in keiner Weise.

Jep.

Aus leidiger Erfahrung [1] kann ich zu Zepto aber folgendes sagen. Die Malware verschlüsselt die Daten auf dem Rechner, auf dem sie aufgerufen wurde und auf Netzlaufwerken, auf die der Benutzer in Anwesenheit der Malware zugreift. Mehrere andere auf jedem Rechner in unserer Firma eingebundene Netzlaufwerke, auf die der betroffene Benutzer während der Infektion nicht zugegriffen hatte, sind nicht von der Verschlüsselung von Dateien betroffen gewesen. Das, trotzdem die Malware (zumindest) beim ersten Mal ca. fünfeinhalb Stunden Zeit hatte, unentdeckt ihr Werk zu tun.

Achtung! Das heißt nicht, dass das Verhalten der Malware mittlerweile oder zukünftig nicht ein anderes sein kann. Das oben beschriebene Verhalten ist das, was ich etwa Anfang August 2016 beobachten konnte.

Wenn ja, wie könnte ich meine Netzwerkkonstellation dahingehend verbessern, dass das Backup vor Locky bzw. Zepto sicher ist?

Neben dem schon Gesagten gilt, dass Backups nicht von den eventuell infizierten Arbeitsrechnern aus gestartet werden dürfen, weil so – auch für die Erpressungssoftware – schreibender Zugriff auf das/die Backuplaufwerk(e) bestünde. Nicht nur, dass ein Backup der verschlüsselten Dateien erfolgte, auch für schon vorhandene Backups bestünde so die Gefahr der Verschlüsselung. Das Backup muss also von einem nicht infizierten Rechner aus erfolgen. Auf den Arbeitsrechnern besteht so nur lesender Zugriff und die Arbeitsrechner selbst, die wohl am ehesten der Infektionsgefahr ausgesetzt sind, sind dabei nur passives Element ohne Zugriff auf irgendwas.

Verschlüsselte Dateien, die ja mit den vorher unverschlüsselten Nutzdaten nicht identisch sind, werden als neue Dateien ins Backup überführt. Das werden sie, wenn die Infektion nicht erkannt wird und keine Maßnahmen erfolgen, sowieso. Es kann aber verhindert werden, vorhandene, saubere Backups an die Malware zu verlieren.

Tschö, Auge

--
Wo wir Mängel selbst aufdecken, kann sich kein Gegner einnisten.
Wolfgang Schneidewind *prust*

  1. Es gibt immer jemanden, der einen Anhang trotz aller Warnungen öffnet. Manchmal auch mehrmals(!) *grml*. Die Emails mit der Malware sind, das muss man allerdings dazu sagen, teilweise recht glaubwürdig gestaltet. Glaubwürdige Absender, glaubwürdiges Anliegen … es ist nicht einfach, jeden Angriff als solchen zu erkennen. ↩︎