ransomware_was_nunIn all dem Trubel, der zur Zeit um Locky gemacht wird, vergisst man gerne, dass Locky “nur” ein weiterer Ransomware Trojaner ist, der allerdings konsequent aus den Fehlern seiner “Konkurrenten” gelernt zu haben scheint und vieles nun aus Sicht der Kriminellen richtig macht.
Wie verbreitet sich Locky ?
Alle Meldungen stimmen bisher überein, dass Locky über Mailanhänge, welche ein Office Dokument enthalten oder über ein Zip Archiv welches entpackt eine Javascript  (.js) Datei enthält. Beiden Varianten gemein ist allerdings der Umstand, dass es sich hierbei noch nicht um den Trojaner selbst, sondern “nur” um den Downloader handelt, welcher erst den Trojaner aus dem Internet abruft, sobald diese Datei gestartet wird.
Hier zeigt sich eine Möglichkeit, Locky und ähnliche Schadsoftware am Befall des Rechners zu hindern:
Dateien aus unbekannten Quellen dürfen nicht gestartet werden. Solange man die verseuchten Dateianhänge nicht aufruft, kann auch nichts passieren.
Was kann ich als Anwender unternehmen ?
Das Ausführen von Javascript Dateien lässt sich durch deaktivieren des Windows Scripting Hosts erreichen. Dies lässt sich über einen Registry Eintrag erreichen, erheblich weniger Fehleranfällig ist es aber, dieses mit einem Tool, wie z.B. XP-Antispy zu erledigen.

scripting-host

In XP-Antispy lässt sich der Scripting Host einfach deaktivieren. Scriptdateien werden dann nicht mehr ausgeführt.

 
Die Ausführung von Makros sollte standardmäßig in allen Office Anwendungen deaktiviert sein. Kontrollieren können Sie dies z.B. anhand dieser Anleitung für Office 2007. Bitte beachten Sie, dass bei dieser Office Variante die Einstellungen in jedem Teilprogramm (Outlook, Excel, Word…) gesondert vorgenommen werden muss. In anderen Office Paketen, wie Libre Office wird diese Einstellung zentral verwaltet. Kontrollieren Sie hier, dass die Makroausführung entweder gänzlich deaktiviert ist, oder zu mindestens nur signierte Makros aus vertrauenswürdigen Quellen ausgeführt werden dürfen.
libreOffice

Libre Office – Einstellungen

Hier klicken Sie auf Makrosicherheit.
libreOffice-2

hohe Einstelllungen sind standardmäßig ausgewählt.

Damit ist die Ausführung von Makros in Office Dateien zunächst unterbunden. Fragt eine Datei, welche Sie öffnen nach der Freigabe von Makros, so sollten Sie Sich überlegen warum und ob dies notwendig ist. Und selbst dann sollten Sie diese Berechtigungen nur freigeben, wenn Sie dem Absender der Datei vertrauen.
Eine Rechnung werden Sie z.B. nicht als Word Dokument erhalten. Professionelle Rechnungen erhalten Sie als PDF. Hier bieten moderne PDF Reader zwar Javascriptfunktionalität als potentielles Einfallstor für Schädlinge an, man kann allerdings leicht auf diese Funktion verzichten und einen alternativen PDF Reader wählen, welcher Javascript nicht beherrscht (z.B. SumatraPDF). Alternativ kann man natürlich die Ausführung von Java Script in Acrobat Reader oder in Alternativen wie Foxit PDF Reader unterbinden.
acrobat-java

Die Ausführung von Javascript kann im Acrobat Reader unterbunden werden

 
foxit-java

Auch im FoxIt Reader sollte das Häkchen bei “JavaScript Aktionen” gelöscht werden, um auf der sicheren Seite zu sein

 
Damit hat man bereits eine gute Basis geschaffen, um gegenüber Locky und anderen, sich ähnlich verbreitenden Trojanern auf der sicheren Seite zu sein. Es muss dabei bedacht werden, dass diese Einstellungen nur den Desktopbetrieb schützen – gegen Infektionen beim Surfen, welche über den Browser eingeschleppt werden, sind oben beschriebene Maßnahmen wirkungslos.
Online empfiehlt sich der Einsatz eines Scriptblockers, wie NoScript für Firefox oder ScriptSafe und ScriptBlock für den Chrome Browser. Bei diesen Tools ist eine gewisse Einarbeitungs Zeit gefragt, damit man diese konfiguriert. Sofern man sich die Zeit dazu nimmt, hat man mit diesen Scriptblockern ein mächtiges Tool an der Hand, welches verhindert, dass Scripte von unbekannten Seiten beim Surfen ausgeführt werden können.
Auf alle Fälle sollte auf dem System eine aktuelle Antiviren Software installiert sein.
Bild: freedigitalphotos.net