Damit sich Ransomware derartig erfolgreich verbreiten konnte, mussten die Entwickler in den Verbreitungswegen kreativer werden. Da kommt eine Methode, die ihren H\u00f6hepunkt in den 90er Jahren erlebte, wie gerufen: Die Verteilung per Makroviren.<\/p>\n
In aller Regel ist der Sinn vieler Computerviren, sich selbst auszul\u00f6sen und effizient zu verbreiten. Als Unterart der Computerviren im Allgemeinen arbeiten so auch die Makroviren im Besonderen: Sie funktionieren nicht als eigenst\u00e4ndiges Programm, sodass sie sich nicht als solches ausbreiten k\u00f6nnen. Diese Virengattung ben\u00f6tigt Makros und l\u00e4sst sich dann erst in weitere Dateien und Dokumente \u00fcbertragen.<\/p>\n
Microsoft Office-Programme arbeiten mit einer Vielzahl von Makros \u2013 sie bieten sich als Ausgangspunkt f\u00fcr Makroviren also an. Makros werden zum Ausf\u00fchren von Office-Programmen ben\u00f6tigt, beispielsweise f\u00fcr die Befehle \u201eDokument \u00f6ffnen\u201c oder \u201eDokument schlie\u00dfen\u201c. Befehlsfolgen dieser Art werden vom Office-Programm in Makros abgespeichert und f\u00fcr erneute Vorg\u00e4nge wieder abgerufen.<\/p>\n
Werden Makros durch Makroviren entweder ver\u00e4ndert oder aber komplett ausgetauscht, wird es in genau dieser ver\u00e4nderten oder ausgetauschten Art weitergegeben. Kommen von au\u00dfen ge\u00e4nderte Befehlsfolgen herein, sind Makroviren in Ihrem System eingedrungen.<\/p>\n
Zum Weiterlesen:<\/strong> Im Jahre 2014 stellte Sophos die \u201eRenaissance der Makro-Viren\u201c fest. ITespresso erkl\u00e4rt die Wirkweise der Makroviren in diesem Beitrag<\/a> sehr anschaulich und ausf\u00fchrlich.<\/p>\n Einer der gef\u00fcrchtetsten Viren in 2016 war der Erpressungstrojaner Locky. Die Ransomware infiltriert seine Opfersysteme \u00fcber ein verseuchtes Makro in Word. Ins System dringt Locky via E-Mail ein: Vielfach als Rechnung getarnt, wurde der Word-Anhang mit verseuchtem Makro direkt mitgeliefert.<\/p>\n Microsoft hatte sich aus Sicherheitsgr\u00fcnden vor geraumer Zeit dazu entschieden, Makros per Default zu deaktivieren. Im Support-Teil erkl\u00e4rt der Redmonder Software-Riese<\/a>, wie Sie Makros aktivieren und deaktivieren k\u00f6nnen. Nach dem \u00d6ffnen des E-Mail-Anhangs kann nun zweierlei passieren:<\/p>\n Sie haben Makros aktiviert und \u00f6ffnen das Dokument. Sofort beginnt die Installation der Schadsoftware. Option zwei: Sie haben Makros deaktiviert. Dann sehen Sie kryptische Zeichen im ge\u00f6ffneten Dokument sowie eine Anweisung, die Makros zu aktivieren.<\/p>\n \u00d6ffnen Sie also den E-Mail-Anhang, wird Lockys ausf\u00fchrbare Datei vom Webserver heruntergeladen. Ist der Sch\u00e4dling erst mal installiert, sucht er nach angeschlossenen Laufwerken \u2013 einschlie\u00dflich m\u00f6glicher Netzwerkfreigaben! Auch verschl\u00fcsselte Dateien jedweder Art (Musik, Archive, Datenbanken, Dokumente, etc.) und weitere Webanwendungs-Dateien sind interessant f\u00fcr Sch\u00e4dlinge wie Locky.<\/p>\n Jetzt verschl\u00fcsselt die Ransomware und spendiert den verschl\u00fcsselten Dateien die Endung .locky. In jedem Verzeichnis, das auf dem Opfersystem durch die Ransomware verschl\u00fcsselt wurde, finden sich die L\u00f6segeldforderungen in unterschiedlichen Sprachen. In aller Regel werden die Opfer zum Zahlen in ein Tor-Netzwerk geleitet; die Zahlung wird in Bitcoins erwartet.<\/p>\n Sp\u00e4testens jetzt, wo sich Ransomware bereits einen \u00e4u\u00dferst gef\u00fcrchteten Namen selbst bei wenig versierten Usern gemacht hat, erleben Makroviren also eine Renaissance. Denn nicht nur Locky nutzte und nutzt diesen Verbreitungsweg. Auch die Goldeneye Ransomware, die Ende 2016 in den Personalabteilungen als vermeintliche Bewerbung w\u00fctete, setzte auf die Verbreitung per Office-Makro<\/a>.<\/p>\n Ransomware hat es nicht auf eine bestimmte Zielgruppe abgesehen. Zielgruppe sind letztlich s\u00e4mtliche Unternehmen, vielfach auch Privatpersonen, die einen Rechner besitzen und wertvolle Dateien speichern. \u201eWertvoll\u201c ist reine Definitionssache: Die Kundendatenbank ist f\u00fcr jedes Unternehmen wertvoll, unabh\u00e4ngig von seiner Gr\u00f6\u00dfe oder Branche. Genauso wie das Adressbuch f\u00fcr jeden Privatmenschen wertvoll ist. \u201eWertvoll\u201c meint in diesem Kontext also \u201enotwendig\u201c bis \u201ebrauchbar\u201c.<\/p>\n Sie haben unterschiedliche Optionen, Ihre Systeme vor Makroviren zu sch\u00fctzen:<\/p>\n Arbeiten Sie in Ihrem Unternehmen mit Microsoft Office 2013\/ 2016, k\u00f6nnen Sie \u00fcber die Gruppenrichtlinien relevante Sicherheitseinstellungen f\u00fcr alle Workstations einrichten. Diese Gruppenrichtlinien ersetzen keinesfalls, sondern erg\u00e4nzen bestehenden Virenschutz auf dem Rechner sinnvoll.<\/p>\n Microsoft stellt Gruppenrichtlinienvorlagen f\u00fcr Office in der 2016er-Version kostenfrei zur Verf\u00fcgung<\/a>. Wahlweise installieren Sie diese lokal oder aber \u00fcber die Windows Server-Gruppenrichtlinien. In den Gruppenrichtlinien finden Sie verschiedene Einstellungen entweder \u00fcber Benutzerkonfiguration\\Richtlinien\\Administrative Vorlagen<\/em> oder \u00fcber Computerkonfiguration\\Richtlinien\\Administrative Vorlagen<\/em>. Als Administrator k\u00f6nnen Sie Makros \u00fcber diese Richtlinien verbieten.<\/p>\n Zudem k\u00f6nnen Sie Benachrichtigungen f\u00fcr Nutzer konfigurieren, die die Aufmerksamkeit bzw. Sensibilit\u00e4t f\u00fcr die Thematik erh\u00f6hen. Die Gruppenrichtlinien erlauben weiter das Festlegen der Regel, keine Makros in Office-Dokumenten auszuf\u00fchren, die von au\u00dfen in das Unternehmen gelangt sind. Microsoft erkl\u00e4rt dies auf TechNet<\/a>.<\/p>\n Es existieren Dokumente, die Programmcode enthalten, der das Ausf\u00fchren bestimmter Funktionen von Viren \u00fcberhaupt erst zul\u00e4sst. Diese Makros basieren auf Programmcode; selbstredend kann dieser Code auch gef\u00e4hrlich sein. Das ist der Grund, weshalb Outlook User benachrichtigt, wenn digital signierte Makros ausgef\u00fchrt werden sollen. F\u00fcr diese Makros authentifiziert sich der Ersteller durch ein Zertifikat. Dies gilt nicht nur f\u00fcr Outlook, sondern auch f\u00fcr andere Office-Programme.<\/p>\n Outlook blockiert ohne jede Meldung jene Makros, die keine Signatur mitbringen. Im Trust Center k\u00f6nnen Sie als Anwender die Einstellungen f\u00fcr Makros vornehmen. Sie k\u00f6nnen hier auch einstellen, dass Sie selbst bei nicht signierten Makros informiert werden m\u00f6chten. Weiter l\u00e4sst sich einstellen, dass selbst signierte Makros ohne Benachrichtigung blockiert werden.<\/p>\n Je nachdem, wie extrem der Sch\u00e4dlingsbefall aussieht, ist das Zur\u00fccksetzen von Windows eine gute Option. Nutzen Sie bereits Windows 10, rufen Sie bitte die Einstellungen \u00fcbers Startmen\u00fc auf. Der Men\u00fcpunkt \u201eUpdate und Sicherheit\u201c gibt den Weg zum Punkt \u201eWiederherstellung\u201c frei. Klicken Sie nun auf \u201eLos geht’s\u201c bei \u201eDiesen PC zur\u00fccksetzen lassen\u201c, k\u00f6nnen Sie den Rechner zum Teil wieder reparieren.<\/p>\n Der installierte Virenschutz schafft es nicht immer, Ransomware zu entfernen. Viele Software-Hersteller offerieren sogenannte Live-CDs, meist sogar kostenfrei. Starten Sie damit Ihren Rechner, so kann dieser von Viren befreit werden.<\/p>\n Anbieter von Antivirensoftware oder anderen Sicherheitsl\u00f6sungen ist es in den vergangenen Monaten gelungen, Tools speziell gegen Ransomware zu entwickeln. Einige Beispiele: Anti-Ransomeware von Malwarebytes, Ransomware Decryptor von Kaspersky<\/a> oder das Anti-Ransomware-Tool von Trend Micro<\/a>.<\/p>\n Die Makroviren sind also wieder da \u2013 zusammen mit Ransomware eine sehr gef\u00e4hrliche Mischung! Mussten Sie bereits Erfahrungen mit Makroviren sammeln? Wenn ja: was ist konkret passiert, wie sind Sie aus der Nummer wieder rausgekommen? Wenn nicht: wie sch\u00fctzen Sie sich? Gibt es Anti-Ransomware-Tools, die Sie empfehlen k\u00f6nnen? – Kommen Sie mit uns ins Gespr\u00e4ch, wir freuen uns auf den Dialog mit Ihnen!<\/p>\nLocky nutzt verseuchtes Makro<\/h3>\n
Locky verbreitet sich<\/h3>\n
Nicht nur Locky nutzt Makros<\/h3>\n
Ransomware & Makroviren: Wie sch\u00fctze ich mich?<\/h3>\n
Mit Gruppenrichtlinien gegen Makroviren<\/h3>\n
Outlook sicherer konfigurieren<\/h3>\n
System zur\u00fccksetzen<\/h3>\n
Live-CDs & Tools gegen Makroviren<\/h3>\n
Haben Sie bereits Erfahrungen mit Makroviren?<\/h3>\n