Datum: | Artikel 2016

© Chany167 - Fotolia.com

Aktuell wütet Locky, ein Ransomware-Trojaner, welcher über die Makro-Funktion von Word auf Windows-Systeme gelangt und dort alle Benutzerdaten verschlüsselt. Diese gibt der Trojaner erst nach Zahlung eines „Lösegelds“ wieder frei. Wir geben ein paar Tipps zu den Makroeinstellungen von Word und damit zum Schutz vor solchen Plagegeistern.

Eigentlich sollten Microsoft Word mit den richtigen Einstellungen und ein aktueller Virenscanner vor Makro-Trojanern schützen. Das dem nicht so ist, hat mehrere Gründe:

Anzeige

Zum einen nutzen noch immer nicht alle Anwender einen der „ordentlichen“ Virenscanner wie z.B. den häufigen Testsieger ESET (zuletzt Computerbild 02 /2016), wenngleich auch diese keinen absoluten Schutz bieten.

Makroschutz

Zum anderen führen die Anwender häufig Anhänge aus, obwohl sie den Absender gar nicht kennen. Wie gefährlich dies ist, zeigt die aktuelle Bedrohung „Locky“. Dieser Trojaner nutzt die Makro-Funktionen von Microsoft Word, welche aber standardmäßig so eingestellt sind, dass keine Makros ausgeführt werden.

In Word 2013 oder Word 2016 finden Sie die Einstellung dazu unter Datei -> Optionen -> Einstellungen für das Trust-Center -> Makroeinstellungen.

Makro Office 365

Makro Office 365

Für Office 2016 kann das Ausführen von Makros auch über eine Gruppenrichtlinie systemweit unterbunden werden.

Ältere Office-Versionen verstecken die Einstellungen unter Datei -> Optionen -> Sicherheitscenter -> Einstellungen für das Sicherheitscenter -> Einstellungen für Makros (Word 2010) oder Office -> Optionen -> Vertrauensstellungscenter -> Einstellungen für das Vertrauensstellungscenter -> Einstellungen für Makros (Office 2007).

Die Tücke bei dem Trojaner: Die Anhänge fordern nach dem Öffnen den Anwender auf, die Makrofunktion zu erlauben. Machen Sie dies nur bei Dateien aus Quellen, denen Sie absolut vertrauen. Die ct hat ein paar weitere Verhaltenshinweise, sollten Sie von dem Trojaner betroffen sein.

Günter Born hat sich in seinem Blog kürzlich sehr ausführlich mit dem Thema befasst und stellt in dem  Beitrag Was schützt vor Locky und anderer Ransomware? einige Lösungsansätze vor, welche sich zum Teil auch für weniger versierte Anwender umsetzen lassen.

Neue Einfallstore

Wie aus Sicherheitskreisen bekannt wurde, nutzt der Trojaner nun auch Javascript-Dateien zur Verbreitung, welche per Mail verschickt werden. Führen Sie daher auch hier keine Anhänge von Absendern aus, denen Sie nicht absolut vertrauen. Auch andere Scriptsprachen wie bat, cmd, vbs und wsf sind typische Einfallstore.

Schutz durch Backups

Ein wirksames Schutzmittel ist – wie in vielen anderen Fällen – ein aktuelles Backup, welches auf Datenträgern gespeichert werden sollte, die nicht mit dem aktuellen System verbunden sind: Sonst wäre auch hier Locky aktiv! Aus aktuellem Anlass hat auch das BSI  ein paar Verhaltenshinweise zusammengefasst.

Intrografik © Chanye – Fotolia.com

Hinterlasse eine Antwort

(wird nicht veröffentlicht)

Nutzungsrichtlinien beachten