Firmenlink

 

Gefährlichen Word-Trojaner vermeiden: Einstellungen für Word und Outlook

Es geistert ein neuartiger Verschlüsselungs-Trojaner namens «Locky» herum. Bei einer Infektion gehen alle Dateien verloren. Deswegen sollten Sie einiges beachten.

von Simon Gröflin 22.02.2016

Seit Anfang Woche verbreitet sich ein neuer Verschlüsselungs-Trojaner mit rasender Geschwindigkeit. Dem Sicherheitsforscher Kevin Beaumont zufolge soll «Locky» allein in Deutschland über 5000 Rechner pro Stunde infizieren. Auch das Fraunhofer-Institut in Bayreuth soll zu den Opfern zählen. Laut Angaben der Melde- und Analysestelle Informationssicherung (Melani) des Bundes auf Anfrage von Inside-IT ist der Schädling zwar noch nicht in der Schweiz angekommen. Einmal ins System eingedrungen, verschlüsselt die Ransomware jedoch sämtliche Dateien des befallenen Rechners. Die Entschlüsselung soll dann nur gegen Bezahlung eines Betrags möglich sein. Konkret erfolgt die Infizierung über Spam-Mails mit einer Word- oder Excel-Datei im Anhang. Leider erkennen noch nicht alle Antivirenprogramme das Makro-Script, das beim Öffnen der Datei automatisch ausgeführt wird. Mit ein paar Vorsichtsmassnahmen können Sie sich jedoch wirksam schützen.

Makro-Codes sind Programme, die bestimmte Aufgaben unter Office automatisieren. Wenn Sie Locky das Einfallstor nicht sperrangelweit offen lassen wollen, konfigurieren Sie Word und Outlook am besten so, dass Makro-Codes nicht ohne Nachfrage ausgeführt werden. Gehen Sie dabei wie folgt vor:

Office-Palette vor «Locky» schützen

1. Öffnen Sie Outlook. Bei Outlook 2010/2013 klicken Sie oben auf Start.

2. Öffnen Sie die Optionen, dann das Trust Center (Sicherheitscenter) bzw. die Einstellungen für das Trust Center.

Unter Outlook 2013 findet man das Sicherheitscenter (Trust Center) hier Unter Outlook 2013 findet man das Sicherheitscenter (Trust Center) hier Zoom© Screenshot / PCtipp

Öffnen Sie links aus der Auswahl die Makroeinstellungen.

Passen Sie die Makroeinstellungen nach Ihren Bedürfnissen an. Als Alltagsanwender wählt man am besten die Einstellung «Alle Makros ohne Benachrichtigung deaktivieren» Passen Sie die Makroeinstellungen nach Ihren Bedürfnissen an. Als Alltagsanwender wählt man am besten die Einstellung «Alle Makros ohne Benachrichtigung deaktivieren» Zoom© Screenshot / PCtipp

Sie können nun eine geeignete Auswahl vornehmen. Wenn Sie z.B. als Otto Normalanwender ohnehin keine Makros brauchen, empfehlen wir die Einstellung Alle Makros ohne Benachrichtigung deaktivieren. Wenn Sie oft mit Makros hantieren, eignet sich eher die Einstellung Benachrichtigungen für alle Makros. So werden Sie jedes Makro einzeln autorisieren müssen.

Diese Einstellungen sollten Sie am besten im gleichen Verfahren auch für Word und Excel vornehmen. Leider bietet Office hierfür keine globalen Einstellungen.

Wenn der Rechner bereits infiziert ist, hilft nur noch eines: Trennen Sie den PC sofort vom Netzwerk, um eine Verbreitung der Schad-Software zu verhindern. Eine Systemwiederherstellung ist leider nicht möglich. Es empfiehlt sich eine saubere Neuinstallation. Die Daten sind dann leider verloren, sofern Sie zuvor nicht regelmässig Backups vorgenommen haben. Zahlen Sie aber keinesfalls den Erpressern Geld. Es ist nicht gesagt, dass Versprochenes gehalten wird. Man kann in einem solchen Fall höchstens warten. Nach einer gewissen Zeit werden manchmal die Verschlüsselungsalgorithmen gefunden.

Allgemeine Malware-Prävention

Allgemein empfehlen sich natürlich - wie immer - die üblichen Sicherheitsvorkehrungen. Dazu gehören regelmässige Daten-Backups und aktuelle Schutzprogramme. Inbesondere Betriebssystem, Office, Browser und Plug-Ins sollten laufend aktualisiert werden. Öffnen Sie grundsätzlich keine Dateianhänge von Mails, bei deren Vertrauenswürdigkeit auch nur die geringsten Zweifel bestehen.


    Kommentare

    • tschöööössss 22.02.2016, 15.22 Uhr

      Heise & Co schreibt was von über 5'000 PRO STUNDE!

    • Simon Gröflin 22.02.2016, 15.34 Uhr

      Danke für den Hinweis. Tatsächlich geht es um die Infektionsrate und nicht um die bisher befallenen Rechner. Habe das angepasst. Herzliche Grüsse Simon

    • tazztone 22.02.2016, 17.06 Uhr

      Wir haben den trojaner letzte Woche in der Firma eingefangen. also ist der sehr wohl schon in der Schweiz

    weitere Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.