Application Manager von AppSense blockiert Ausführung von Erpressungstrojaner Locky

Grasbrunn/München – 8. März 2016. Der Application Manager von AppSense schützt Endgeräte und Infrastrukturen als eine der bislang ersten Lösungen am Markt vor dem Verschlüsselungstrojaner Locky. Dies belegen von den Experten des Herstellers in der vergangenen Woche durchgeführte Testläufe. Hierbei wurde der Kryptolocker auf verschiedenen Systemen installiert. Während auf ungeschützten Systemen binnen kürzester Zeit sämtliche Dokumente verschlüsselt waren, wurde auf den durch AppSense geschützten Systemen die Ausführung des Schadprogramms umgehend blockiert. Kunden des Anbieters können somit darauf vertrauen, dass das derzeit grassierende aggressive Schadprogramm keine Bedrohung für ihre IT-Umgebungen darstellt.

Locky-Webinar: Live-Demo von AppSense stellt die Absicherung von Endgeräten auf den Prüfstand

Auf welche Weise der Application Manager Locky von Endgeräten fern hält und wie sich demgegenüber ein Rechner ohne AppSense-Software verhält, demonstriert der Hersteller am Freitag, den 11. März 2016, in einem Webinar. Weitere Informationen hierzu sind im Internet unter der Webadresse http://go.appsense.com/Locky.html abrufbar. Darüber hinaus können sich Interessenten auf der Seite für das aus Aktualitätsgründen kurzfristig angesetzte Online-Seminar anmelden.

Antivirenprogramme bieten bislang keinen ausreichenden Schutz

Tipps, wie man sich vor Locky schützen kann, gibt es viele. Allerdings fehlt es derzeit noch an Lösungen, mit denen sich der Schädling rechtzeitig erkennen und abwehren lässt. Das liegt in erster Linie daran, dass der Kryptolocker in immer neuem Tarngewand auf den Weg geschickt wird – derzeit sollen gut 60 Varianten im Umlauf sein – und damit tun sich Antiviren- (AV) Programme schwer. Denn um ihre Scanner zu aktualisieren, müssen die Hersteller den Schadcode erst einmal kennen. Da dieser jedoch beständig von den Autoren verändert wird, stehen fast alle AV-Lösungen dem Trojaner zum Zeitpunkt der Verbreitung erst einmal hilflos gegenüber.

Aus diesem Grund rät unter anderem das Bundesministerium für Sicherheit (BSI), Benutzerrechte restriktiv genug zu vergeben. Genau hier setzt der Application Manager von AppSense an, der standardmäßig ausschließlich die Ausführung von Programmen erlaubt, die von Administratoren installiert worden sind.

AppSense Software schiebt Locky per “Trusted Ownership Checking” einen Riegel vor

Die Entscheidung, welche Anwendungen gestartet werden dürfen, trifft der Application Manager auf Basis des “Trusted-Ownership-Checkings”. Die Funktion ist seit rund zehn Jahren integraler Bestandteil der Software und beruht auf einem einfachen Prinzip. Jede ausführbare Datei wird dahingehend geprüft, wer ihr Besitzer ist. Besitzer einer Datei ist dabei der Anwender, der diese Datei auf ein System gebracht hat.

Installiert ein Administrator ein neues Programm, so sind dessen ausführbare Dateien im Besitz der Administratoren und werden als „vertrauenswürdig“ eingestuft. Kopiert allerdings ein Nutzer eine per E-Mail erhaltene oder aus dem Internet heruntergeladene ausführbare Datei auf seinem Rechner, ist er damit auch Besitzer dieser Datei. Das System stuft derartige Dateien als “nicht vertrauenswürdig” ein und verhindert deren Start. Die Ausführung von Schadprogrammen mit nicht autorisiertem Code lässt sich dadurch effizient und ohne administrativen Aufwand blockieren. „Trusted Ownership Checking“ basiert nicht auf Signaturen oder Definitionen bekannter Bedrohungen und muss daher nicht an Variationen der Schädlinge angepasst werden.

Das Locky-Prinzip

Die Ransomware Locky verbreitet sich seit gut zwei Wochen in rasantem Tempo, alleine in Deutschland soll es nach Aussage des Sicherheitsexperten Kevin Beaumond stündlich zu 5.300 Neuinfektionen kommen. Versteckte sich der, zunächst per Phishing-Mails versandte, Schädling anfangs in angehängten Office-Dokumente mit eingebettetem Makro-Code, sind inzwischen weitere Varianten unterwegs. Hierzu zählen Benachrichtungen, die sich als Faxe, Rechnungen, Bewerbungen oder Scans von Multifunktionsdruckern ausgeben.

Doch ganz gleich, ob sich Locky in einem Makro-Code oder einer Java-Script-Datei verbirgt – das Ergebnis ist stets das gleiche. Per Mausklick auf den Anhang startet die Anwendung, die den Trojaner aus dem Internet nachlädt und startet. Das perfide dabei: Nicht nur Dateien auf den befallenen Endgeräten sind bedroht, auch Dateien auf Netzlaufwerken oder Cloudspeichern verschlüsselt der Trojaner. Jüngsten Pressemeldungen zufolge, beschränkt sich Locky dabei nicht auf verbundene Netzlaufwerke, sondern verschlüsselt sämtliche Dateien, auf die der ausführende Benutzer Zugriff hat. Es genügt daher nicht infizierte Rechner zu säubern – wer wieder Zugriff auf seine Dateien möchte, hat entweder ein (sehr) aktuelles Backup oder zahlt das geforderte Lösegeld.