Verschlüsselung

Rückkehr der Makroviren: Ransomware nutzt alte Verbreitungsmethode

3. Januar 2017
  • Verschlüsselung

© Florian Roth - Fotolia.com

Damit sich Ransomware derartig erfolgreich verbreiten konnte, mussten die Entwickler in den Verbreitungswegen kreativer werden. Da kommt eine Methode, die ihren Höhepunkt in den 90er Jahren erlebte, wie gerufen: Die Verteilung per Makroviren.

Makroviren: was sie machen und wie sie arbeiten

In aller Regel ist der Sinn vieler Computerviren, sich selbst auszulösen und effizient zu verbreiten. Als Unterart der Computerviren im Allgemeinen arbeiten so auch die Makroviren im Besonderen: Sie funktionieren nicht als eigenständiges Programm, sodass sie sich nicht als solches ausbreiten können. Diese Virengattung benötigt Makros und lässt sich dann erst in weitere Dateien und Dokumente übertragen.

Microsoft Office-Programme arbeiten mit einer Vielzahl von Makros – sie bieten sich als Ausgangspunkt für Makroviren also an. Makros werden zum Ausführen von Office-Programmen benötigt, beispielsweise für die Befehle „Dokument öffnen“ oder „Dokument schließen“. Befehlsfolgen dieser Art werden vom Office-Programm in Makros abgespeichert und für erneute Vorgänge wieder abgerufen.

Werden Makros durch Makroviren entweder verändert oder aber komplett ausgetauscht, wird es in genau dieser veränderten oder ausgetauschten Art weitergegeben. Kommen von außen geänderte Befehlsfolgen herein, sind Makroviren in Ihrem System eingedrungen.

Zum Weiterlesen: Im Jahre 2014 stellte Sophos die „Renaissance der Makro-Viren“ fest. ITespresso erklärt die Wirkweise der Makroviren in diesem Beitrag sehr anschaulich und ausführlich.

Locky nutzt verseuchtes Makro

Einer der gefürchtetsten Viren in 2016 war der Erpressungstrojaner Locky. Die Ransomware infiltriert seine Opfersysteme über ein verseuchtes Makro in Word. Ins System dringt Locky via E-Mail ein: Vielfach als Rechnung getarnt, wurde der Word-Anhang mit verseuchtem Makro direkt mitgeliefert.

Microsoft hatte sich aus Sicherheitsgründen vor geraumer Zeit dazu entschieden, Makros per Default zu deaktivieren. Im Support-Teil erklärt der Redmonder Software-Riese, wie Sie Makros aktivieren und deaktivieren können. Nach dem Öffnen des E-Mail-Anhangs kann nun zweierlei passieren:

Sie haben Makros aktiviert und öffnen das Dokument. Sofort beginnt die Installation der Schadsoftware. Option zwei: Sie haben Makros deaktiviert. Dann sehen Sie kryptische Zeichen im geöffneten Dokument sowie eine Anweisung, die Makros zu aktivieren.

Locky verbreitet sich

Öffnen Sie also den E-Mail-Anhang, wird Lockys ausführbare Datei vom Webserver heruntergeladen. Ist der Schädling erst mal installiert, sucht er nach angeschlossenen Laufwerken – einschließlich möglicher Netzwerkfreigaben! Auch verschlüsselte Dateien jedweder Art (Musik, Archive, Datenbanken, Dokumente, etc.) und weitere Webanwendungs-Dateien sind interessant für Schädlinge wie Locky.

Jetzt verschlüsselt die Ransomware und spendiert den verschlüsselten Dateien die Endung .locky. In jedem Verzeichnis, das auf dem Opfersystem durch die Ransomware verschlüsselt wurde, finden sich die Lösegeldforderungen in unterschiedlichen Sprachen. In aller Regel werden die Opfer zum Zahlen in ein Tor-Netzwerk geleitet; die Zahlung wird in Bitcoins erwartet.

Nicht nur Locky nutzt Makros

Spätestens jetzt, wo sich Ransomware bereits einen äußerst gefürchteten Namen selbst bei wenig versierten Usern gemacht hat, erleben Makroviren also eine Renaissance. Denn nicht nur Locky nutzte und nutzt diesen Verbreitungsweg. Auch die Goldeneye Ransomware, die Ende 2016 in den Personalabteilungen als vermeintliche Bewerbung wütete, setzte auf die Verbreitung per Office-Makro.

Der Youtube-Channel SemperVideo hat sich einmal drangemacht, die Ransomware Locky bewusst auf einem System zu installieren. So können Sie verfolgen, wie Ransomware arbeitet:

Ransomware & Makroviren: Wie schütze ich mich?

Ransomware hat es nicht auf eine bestimmte Zielgruppe abgesehen. Zielgruppe sind letztlich sämtliche Unternehmen, vielfach auch Privatpersonen, die einen Rechner besitzen und wertvolle Dateien speichern. „Wertvoll“ ist reine Definitionssache: Die Kundendatenbank ist für jedes Unternehmen wertvoll, unabhängig von seiner Größe oder Branche. Genauso wie das Adressbuch für jeden Privatmenschen wertvoll ist. „Wertvoll“ meint in diesem Kontext also „notwendig“ bis „brauchbar“.

Sie haben unterschiedliche Optionen, Ihre Systeme vor Makroviren zu schützen:

Mit Gruppenrichtlinien gegen Makroviren

Arbeiten Sie in Ihrem Unternehmen mit Microsoft Office 2013/ 2016, können Sie über die Gruppenrichtlinien relevante Sicherheitseinstellungen für alle Workstations einrichten. Diese Gruppenrichtlinien ersetzen keinesfalls, sondern ergänzen bestehenden Virenschutz auf dem Rechner sinnvoll.

Microsoft stellt Gruppenrichtlinienvorlagen für Office in der 2016er Version kostenfrei zur Verfügung. Wahlweise installieren Sie diese lokal oder aber über die Windows Server-Gruppenrichtlinien. In den Gruppenrichtlinien finden Sie verschiedene Einstellungen entweder über Benutzerkonfiguration\Richtlinien\Administrative Vorlagen oder über Computerkonfiguration\Richtlinien\Administrative Vorlagen. Als Administrator können Sie Makros über diese Richtlinien verbieten.

Zudem können Sie Benachrichtigungen für Nutzer konfigurieren, die die Aufmerksamkeit bzw. Sensibilität für die Thematik erhöhen. Die Gruppenrichtlinien erlauben weiter das Festlegen der Regel, keine Makros in Office-Dokumenten auszuführen, die von außen in das Unternehmen gelangt sind. Microsoft erklärt dies auf TechNet.

Outlook sicherer konfigurieren

Es existieren Dokumente, die Programmcode enthalten, der das Ausführen bestimmter Funktionen von Viren überhaupt erst zulässt. Diese Makros basieren auf Programmcode; selbstredend kann dieser Code auch gefährlich sein. Das ist der Grund, weshalb Outlook User benachrichtigt, wenn digital signierte Makros ausgeführt werden sollen. Für diese Makros authentifiziert sich der Ersteller durch ein Zertifikat. Dies gilt nicht nur für Outlook, sondern auch für andere Office-Programme.

Outlook blockiert ohne jede Meldung jene Makros, die keine Signatur mitbringen. Im Trust Center können Sie als Anwender die Einstellungen für Makros vornehmen. Sie können hier auch einstellen, dass Sie selbst bei nicht signierten Makros informiert werden möchten. Weiter lässt sich einstellen, dass selbst signierte Makros ohne Benachrichtigung blockiert werden.

System zurücksetzen

Je nachdem, wie extrem der Schädlingsbefall aussieht, ist das Zurücksetzen von Windows eine gute Option. Nutzen Sie bereits Windows 10, rufen Sie bitte die Einstellungen übers Startmenü auf. Der Menüpunkt „Update und Sicherheit“ gibt den Weg zum Punkt „Wiederherstellung“ frei. Klicken Sie nun auf „Los geht’s“ bei „Diesen PC zurücksetzen lassen“, können Sie den Rechner zum Teil wieder reparieren.

Live-CDs & Tools gegen Makroviren

Der installierte Virenschutz schafft es nicht immer, Ransomware zu entfernen. Viele Software-Hersteller offerieren sogenannte Live-CDs, meist sogar kostenfrei. Starten Sie damit Ihren Rechner, so kann dieser von Viren befreit werden.

Anbieter von Antivirensoftware oder anderen Sicherheitslösungen ist es in den vergangenen Monaten gelungen, Tools speziell gegen Ransomware zu entwickeln. Einige Beispiele: Anti-Ransomeware von Malwarebytes, Ransomware Decryptor von Kaspersky oder das Anti-Ransomware Tool von Trend Micro.

Haben Sie bereits Erfahrungen mit Makroviren?

Die Makroviren sind also wieder da – zusammen mit Ransomware eine sehr gefährliche Mischung! Mussten Sie bereits Erfahrungen mit Makroviren sammeln? Wenn ja: was ist konkret passiert, wie sind Sie aus der Nummer wieder rausgekommen? Wenn nicht: wie schützen Sie sich? Gibt es Anti-Ransomware-Tools, die Sie empfehlen können? – Kommen Sie mit uns ins Gespräch, wir freuen uns auf den Dialog mit Ihnen!



0 Kommentar(e)

Schreibe einen Kommentar