Aktuell wütet Locky, ein Ransomware-Trojaner, welcher über die Makro-Funktion von Word auf Windows-Systeme gelangt und dort alle Benutzerdaten verschlüsselt. Diese gibt der Trojaner erst nach Zahlung eines „Lösegelds“ wieder frei. Wir geben ein paar Tipps zu den Makroeinstellungen von Word und damit zum Schutz vor solchen Plagegeistern.
Eigentlich sollten Microsoft Word mit den richtigen Einstellungen und ein aktueller Virenscanner vor Makro-Trojanern schützen. Das dem nicht so ist, hat mehrere Gründe:
Zum einen nutzen noch immer nicht alle Anwender einen der „ordentlichen“ Virenscanner wie z.B. den häufigen Testsieger ESET (zuletzt Computerbild 02 /2016), wenngleich auch diese keinen absoluten Schutz bieten.
Makroschutz
Zum anderen führen die Anwender häufig Anhänge aus, obwohl sie den Absender gar nicht kennen. Wie gefährlich dies ist, zeigt die aktuelle Bedrohung „Locky“. Dieser Trojaner nutzt die Makro-Funktionen von Microsoft Word, welche aber standardmäßig so eingestellt sind, dass keine Makros ausgeführt werden.
In Word 2013 oder Word 2016 finden Sie die Einstellung dazu unter Datei -> Optionen -> Einstellungen für das Trust-Center -> Makroeinstellungen.
Für Office 2016 kann das Ausführen von Makros auch über eine Gruppenrichtlinie systemweit unterbunden werden.
Ältere Office-Versionen verstecken die Einstellungen unter Datei -> Optionen -> Sicherheitscenter -> Einstellungen für das Sicherheitscenter -> Einstellungen für Makros (Word 2010) oder Office -> Optionen -> Vertrauensstellungscenter -> Einstellungen für das Vertrauensstellungscenter -> Einstellungen für Makros (Office 2007).
Die Tücke bei dem Trojaner: Die Anhänge fordern nach dem Öffnen den Anwender auf, die Makrofunktion zu erlauben. Machen Sie dies nur bei Dateien aus Quellen, denen Sie absolut vertrauen. Die ct hat ein paar weitere Verhaltenshinweise, sollten Sie von dem Trojaner betroffen sein.
Günter Born hat sich in seinem Blog kürzlich sehr ausführlich mit dem Thema befasst und stellt in dem Beitrag Was schützt vor Locky und anderer Ransomware? einige Lösungsansätze vor, welche sich zum Teil auch für weniger versierte Anwender umsetzen lassen.
Neue Einfallstore
Wie aus Sicherheitskreisen bekannt wurde, nutzt der Trojaner nun auch Javascript-Dateien zur Verbreitung, welche per Mail verschickt werden. Führen Sie daher auch hier keine Anhänge von Absendern aus, denen Sie nicht absolut vertrauen. Auch andere Scriptsprachen wie bat, cmd, vbs und wsf sind typische Einfallstore.
Schutz durch Backups
Ein wirksames Schutzmittel ist - wie in vielen anderen Fällen - ein aktuelles Backup, welches auf Datenträgern gespeichert werden sollte, die nicht mit dem aktuellen System verbunden sind: Sonst wäre auch hier Locky aktiv! Aus aktuellem Anlass hat auch das BSI ein paar Verhaltenshinweise zusammengefasst.
Intrografik © Chanye - Fotolia.com