{"id":7295,"date":"2016-03-25T15:48:20","date_gmt":"2016-03-25T15:48:20","guid":{"rendered":"https:\/\/kasperskydaily.com\/germany\/?p=7295"},"modified":"2020-02-26T18:42:33","modified_gmt":"2020-02-26T16:42:33","slug":"locky-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/locky-ransomware\/7295\/","title":{"rendered":"Raffinierte Ransomware Locky raubt amerikanische Krankenh\u00e4user aus"},"content":{"rendered":"<p>\u00c4rzte und Patienten auf der ganzen Welt, nehmen Sie sich in Acht: Cyberkriminelle haben ein neues Familienmitglied. Ungeachtet ihres zarten Alters hat die nur einen Monat alte Ransomware schon Daten von zwei amerikanischen Krankenh\u00e4usern verschl\u00fcsselt und ihren Entwicklern 15.000 EUR eingebracht.<\/p>\n<p>\u00a0<\/p>\n<p>Das \u201eKind\u201c wurde auf den Namen \u201eLocky\u201c getauft, und erlangte schnell internationale Bekanntheit. Der Grund hierf\u00fcr? Locky <a href=\"https:\/\/threatpost.com\/locky-ransomware-borrows-tricks-from-dridex\/116304\/\" target=\"_blank\" rel=\"noopener nofollow\">infizierte<\/a> die Krankenakten des Hollywood Presbyterian Medical Center in Los Angeles. Das Krankenhaus war von der Attacke lahmgelegt worden und musste schlussendlich 15.000 EUR <a href=\"http:\/\/www.npr.org\/sections\/thetwo-way\/2016\/02\/17\/467149625\/la-hospital-pays-hackers-nearly-17-000-to-restore-computer-network\" target=\"_blank\" rel=\"noopener nofollow\">zahlen<\/a>, um seine Gesundheitsakten zur\u00fcckzubekommen.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/hashtag\/Locky?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Locky<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/Ransomware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Ransomware<\/a> Borrows Tricks from Dridex via <a href=\"https:\/\/twitter.com\/threatpost?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@threatpost<\/a> <a href=\"https:\/\/t.co\/4VRyAas6pY\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/4VRyAas6pY<\/a> <a href=\"https:\/\/t.co\/JO43afN7hq\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/JO43afN7hq<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/700427833781440512?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 18, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Lockys neues Opfer \u2014 das Methodist Hospital in Henderson, Kentucky \u2014 ist eine Akutversorgungseinrichtung mit 217 Betten. Um die weitere Verbreitung des Virus zu verhindern, musste das Krankenhaus alle PCs im Netzwerk ausschalten. Seitens der Administration kooperiert das Krankenhaus mit dem FBI und \u00fcberpr\u00fcft jedes Ger\u00e4t einzeln auf Vireninfektionen. Es kann sein, dass einige Daten mithilfe von Sicherheitskopien wiederhergestellt werden k\u00f6nnen. Im Gegensatz zum zuvor genannten Angriff auf ein Krankenhaus bel\u00e4uft sich die L\u00f6segeldforderung in diesem Fall \u201enur\u201c auf 1.400 EUR. Nichtsdestoweniger geben Vertreter des Methodist Hospital an, dass das Geld nur im schlimmsten Fall gezahlt wird.<\/p>\n<p>https:\/\/twitter.com\/JGavin14News\/status\/711956381637726209<\/p>\n<p>In Kentucky nahm das Unheil mit Locky wie \u00fcblich mit einem Brief seinen Lauf. Letzten Freitag erhielt ein Mitarbeiter des Krankenhauses eine Phishingmail und klickte auf deren Dateianhang, der wiederum die Ransomware vom Server der Kriminellen herunterlud und so Locky Zugang zum Netzwerk verschaffte. Der Trojaner kopierte alle Dateien des Ger\u00e4tes, verschl\u00fcsselte diese und l\u00f6schte die Originaldaten. Gleichzeitig breitete sich die Ransomware im Unternehmensnetzwerk aus \u2014 ein Prozess, der sich nur stoppen lie\u00df, indem die Computer ausgeschaltet wurden.<\/p>\n<p>Anfangs wurde Locky mithilfe von .doc-Dateien mit Schadcode \u00fcbertragen, die den Trojaner von Fernservern herunterluden. Sp\u00e4ter \u00e4nderten die Straft\u00e4ter ihre Taktik und wechselten zu .zip-Ordnern mit JavaScript, die ebenfalls den Trojaner vom Server der Kriminellen herunterluden und starteten. Die meisten der b\u00f6sartigen Briefe waren auf Englisch geschrieben, aber es gab auch E-Mails, die in zwei Sprachen verfasst wurden.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/hashtag\/Hospitals?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Hospitals<\/a> are under attack\u2026 what's at risk? <a href=\"https:\/\/t.co\/b1WYjQgpfY\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/b1WYjQgpfY<\/a> via <a href=\"https:\/\/twitter.com\/61ack1ynx?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@61ack1ynx<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/Infosec?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Infosec<\/a> <a href=\"https:\/\/t.co\/euuJ8041U0\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/euuJ8041U0<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/713003737187532800?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">March 24, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Nach Angaben von <a href=\"https:\/\/www.kaspersky.de\/blog\/cloud-security-ganz-einfach-1-technischer-begriff-0-komplizierte-diagramme\/5281\/\" target=\"_blank\" rel=\"noopener\">Kaspersky Security Network<\/a>, greift Locky vorwiegend Nutzer aus Deutschland, Frankreich, Kuwait, Indien, S\u00fcdafrika, den USA, Italien, Spanien und Mexiko an. Unseres Wissens nach sind weder Russland noch die GUS-L\u00e4nder ein Angriffsziel des Trojaners.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>#Ransomware #Locky: wie eine E-Mail zum Verlust aller Daten f\u00fchren kann<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2FAFf4&amp;text=%23Ransomware+%23Locky%3A+wie+eine+E-Mail+zum+Verlust+aller+Daten+f%C3%BChren+kann\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>Auff\u00e4llig ist, dass Locky ein besonders \u201eneugieriger\u201c Trojaner ist, insofern dass er detaillierte Statistiken zu jedem einzelnen Opfer f\u00fchrt, was \u00e4u\u00dferst un\u00fcblich f\u00fcr eine Ransomware ist. Grund hierf\u00fcr sind finanzielle Interessen der Straft\u00e4ter: auf diese Weise k\u00f6nnen sie den Wert von verschl\u00fcsselten Dateien genauer bestimmen, um die L\u00f6segeldforderungen individuell anzupassen und m\u00f6glich gro\u00dfen Profit zu machen.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">10 tips to protect your files from ransomware <a href=\"https:\/\/t.co\/o0IpUU9CHb\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/o0IpUU9CHb<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/iteducation?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#iteducation<\/a> <a href=\"https:\/\/t.co\/I47sPIiWFF\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/I47sPIiWFF<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/671348678607642624?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">November 30, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Es ist unwahrscheinlich, dass Locky speziell f\u00fcr Krankenh\u00e4user entwickelt worden ist. Sicherheitsexperten gehen fest davon aus, dass Kriminelle alle Nutzer ins Visier nehmen werden, die in hohem Ma\u00dfe von Daten abh\u00e4ngig sind, so wie Rechtsanw\u00e4lte, \u00c4rzte, Architekten und so weiter.<\/p>\n<p>Zu guter Letzt weisen wir darauf hin, dass die Sicherheitsl\u00f6sungen von Kaspersky Lab Nutzer auf verschiedenen Ebenen vor Locky sch\u00fctzen:<\/p>\n<ul>\n<li>Das <strong><a href=\"https:\/\/www.kaspersky.de\/blog\/kaspersky-anti-spam-protection\/5570\/\" target=\"_blank\" rel=\"noopener\">Antispam<\/a><\/strong>-Modul erkennt b\u00f6sartige E-Mails von Cyberkriminellen im Vorfeld<\/li>\n<li>Der <strong>E-Mail- und Daten-Antivirus<\/strong> erkennt Upload-Skripte und warnt die Nutzer. Unsere Sicherheitsl\u00f6sungen f\u00fchren diese Skripte mit der Bezeichnung Trojan-Downloader.MSWord.Agent, Trojan-Downloader.JS.Agent und HEUR:Trojan-Downloader.Script.Generic an<\/li>\n<li>Der <strong>Daten-Antivirus<\/strong> erkennt die ausf\u00fchrbare Datei und warnt Nutzer, dass der Trojan-Ransom.Win32.Locky entdeckt wurde.<\/li>\n<li>Das <strong>Systemagent<\/strong>-Modul in <a href=\"https:\/\/www.kaspersky.com\/de\/multi-device-security?redef=1&amp;reseller=gl_KDpost_pro_ona_smm__onl_b2c_kasperskydaily_lnk____kismd___&amp;_ga=1.124563087.468992270.1457000469\" target=\"_blank\" rel=\"noopener nofollow\">Kaspersky Internet Security<\/a> wird sogar unbekannte Exemplare der Ransomware Locky erkennen und den Nutzer vorwarnen, dass PDM:Trojan.Win32.Generic entdeckt wurde.<\/li>\n<\/ul>\n<p>Dar\u00fcber hinaus wird die Verschl\u00fcsselung der Dateien auf Ihrer Festplatte durch den Trojaner verhindert, so dass weder Locky noch eine andere Ransomware Ihre Daten stehlen und verschl\u00fcsseln sowie L\u00f6segeld fordern kann.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die neue Ransomware Locky verschl\u00fcsselte Patientendaten von zwei Krankenh\u00e4usern in den USA.<\/p>\n","protected":false},"author":522,"featured_media":7299,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,6],"tags":[1000,193,1886,1444,535,1653],"class_list":{"0":"post-7295","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-daten","10":"tag-kaspersky-internet-security","11":"tag-locky","12":"tag-medizin","13":"tag-ransomware","14":"tag-security"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/locky-ransomware\/7295\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/locky-ransomware\/5373\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/locky-ransomware\/3769\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/locky-ransomware\/6916\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/locky-ransomware\/6884\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/locky-ransomware\/8015\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/locky-ransomware\/7800\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/locky-ransomware\/11382\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/locky-ransomware\/11667\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/locky-ransomware\/5427\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/locky-ransomware\/6121\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/locky-ransomware\/10849\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/locky-ransomware\/11382\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/locky-ransomware\/11667\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/locky-ransomware\/11667\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/daten\/","name":"Daten"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/7295","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/522"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=7295"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/7295\/revisions"}],"predecessor-version":[{"id":23042,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/7295\/revisions\/23042"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/7299"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=7295"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=7295"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=7295"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}