Verschlüsseltes Schloss Mit Zahlen (1 Und 0) Und Kreisen Zu Entschlüsselung

Erpressertrojaner, wie sie funktionieren, wie Sie sich schützen und was Sie im Schadensfall tun können

Seit einigen Tagen macht schon wieder ein weiterer Erpressertrojaner, genannt „Locky“, Schlagzeilen. Die sogenannte Ransomware, manchmal auch als Cryptolocker bezeichnet, verbreitet sich gerade im Eiltempo und stellt für Unternehmen und Privatleute eine große Bedrohung dar, sowohl sicherheitstechnisch, als auch finanziell. Eine Infektion mit einem Erpressertrojaner kann gerade für Unternehmen schnell eine existenzbedrohende Dimension einnehmen. Laut Sicherheitsexperten sind derzeitig allein in Deutschland über 5.000 Infektionen pro Stunde zu verzeichnen, weltweit sind es 5 Infektionen in der Sekunde. Die schnelle Verbreitung des Trojaners lässt sich auch dadurch erklären, dass jede E-Mail und jeder Dateianhang eine potenzielle Bedrohung darstellen. Mehr dazu auch im folgenden Video…

Ransomware – Was ist das?

Ransomware (bekannte Vertreter: „BKA-Trojaner“, „TeslaCrypt“, „der Neue“ im Bund ist „Locky“) erpresst den Nutzer, indem der gesamte Computer oder einzelne Dateien unzugänglich gemacht werden. Dies geschieht oft durch hochkomplexe Verschlüsselungsmechanismen. Fällt der Befall auf, ist es oft schon zu spät: Die Dateien auf einem Computer sind bereits verschlüsselt und der Benutzer wird nun durch eine Erpessernachricht begrüßt: Entweder er versendet einen Geldbetrag, oft als Paysafecard oder BitCoins, oder er wird all seine Dateien verlieren. Mit verstrichener Zeit erhöht sich dieser Betrag oft, die neue Ransomware „Locky“ fordert beispielsweise 0,5 bis 1 Bitcoins (1 Bitcoin = 380€). Dass man das geforderte Lösegeld zahlt, bedeutet jedoch nicht, dass man seine verlorenen Daten tatsächlich wiedererlangt.

Die Infektion mit einer Ransomware erfolgt oft durch infizierte Anhänge in Mails mit gefälschtem Absender. So geben die Mails vor, gescannte Dokumente, Rechnungen oder Bewerbungen zu enthalten. In den Anhängen befindet sich jedoch ein Makro, welches beim Ausführen den eigentlichen Trojaner auf das System lädt. Ist dies geschehen, beginnt dieser mit der Verschlüsselung der auf dem System befindlichen Dateien. Der Nutzer bemerkt den Vorgang in der Regel erst, wenn es bereits zu spät ist: Besonders bei „Locky“ gibt es keine Möglichkeit, die Dateien wieder zu entschlüsseln.

 

Wie kann ich mich vor Ransomware schützen?

Leider gibt es nicht die eine Lösung, durch welche man an allen Angriffspunkten vor Ransomware und ähnlichen Gefahren geschützt ist – ein wirksamer Schutz entsteht nur durch ein gut durchdachtes und korrekt geplantes IT-Sicherheitskonzept. Zu diesem gehört zu allererst ein Virenschutz eines renommierten Herstellers. Gerade bei neuen Bedrohungen wie „Locky“ brauchen jedoch auch die schnellsten Virenschutzanbieter Zeit, um auf die Bedrohung reagieren zu können. Es ist notwendig, die Virenschutzdefinitionen zu jeder Zeit aktuell zu halten, allerdings bietet auch diese Maßnahme keinen hundertprozentigen Schutz, oft fällt die Bedrohung erst auf, nachdem schon die ersten Dateien schon verschlüsselt sind.

Neben dem Virenschutz müssen auch das Betriebssystem und installierte Software immer aktuell gehalten werden, da auch hier potenzielle Schwachstellen von Schadsoftware ausgenutzt werden. Auch wenn vorbeugende Maßnahmen enorm wichtig sind, sollte trotzdem jeder, der wichtige Daten auf seinen PCs, Tablets und Servern aufbewahrt, für den Ernstfall gewappnet sein. Sind die Daten erst verschlüsselt, bleibt nur noch die Möglichkeit, sie aus einer Datensicherung wiederherzustellen. Daher ist eine sorgfältig geplante Backuplösung  gerade für Unternehmen von größter Bedeutung, um im Ernstfall einen Totalverlust der Daten und damit eine Situation abzuwenden, die das Unternehmen dauerhaft schädigen kann. Da Ransomware zwingend aus dem eigenen Netzwerk ins Internet hinaus kommunizieren muss, damit ihre Hintermänner von ihr profitieren können, ist eine korrekt konfigurierte Firewall ein weiterer wichtiger Punkt.

Neben technischen Lösungen ist jedoch auch der menschliche Faktor als Infektionsrisiko bedeutend: Solange der Anwender sich der ständigen Bedrohung nicht bewusst und dementsprechend geschult ist, kann auch der beste Virenscanner nur einen begrenzten Schutz bieten. Hier ist seitens des Anwenders größte Vorsicht beim Umgang mit E-Mails, unbekannten Dateien und der sparsame Einsatz von administrativen Rechten im alltäglichen Arbeiten. Letztendlich ist es empfehlenswert, zur Ausarbeitung eines Sicherheitskonzepts einen IT-Sicherheitsexperten zu Rate zu ziehen. Nur so ist gewährleistet, dass bedeutende Schwachstellen nicht übersehen werden.

Die wichtigsten Schutzmechanismen gegen Erpressertrojaner in der Übersicht:

  • Sichern Sie mindestens täglich alle Ihre Daten und Systeme auf Datenträger die nach der Sicherung nicht mit den Systemen verbunden sind (Bänder, USB-Platten, Cloud-Backup).
  • Stellen Sie sicher, dass Ihr Virenscanner auf allen IT-Systemen installiert und aktiv ist und mindestens täglich aktualisiert wird.
  • Halten Sie alle IT-Systeme und Anwendungen immer auf dem aktuellsten Stand. Installieren Sie zeitnah Softwareupdates und Sicherheitspatches.
  • Installieren Sie auf Ihrer Firewall einen Contentfilter der alle ein- und ausgehenden Daten auf Schadsoftware überprüft.
  • Sperren Sie die automatische Ausführung von Makros in allen Microsoft Office Programmen.
  • Informieren Sie alle Mitarbeiter, führen Sie regelmäßige Sicherheitseinweisungen und Schulungen durch damit diese wissen wie Sie sich verhalten müssen.
  • Richten Sie ein Überwachungssystem ein welches Ihre Datensicherung, Ihren Virenschutz, die Firewall sowie das Update und Patchmanagement permanent überwacht und Sie mindestens täglich informiert.

Hilfe! – Locky hat meine Systeme infiziert! Was im Ernstfall zu tun ist:

Ist die Infektion aufgefallen, rät das BSI (Bundesamt für Sicherheit in der Informationstechnik) dazu, in keinem Fall auf die Lösegeldforderung einzugehen, ein Foto vom Erpresserschreiben zu machen und mit diesem Anzeige zu erstatten. In der Vergangenheit ist es vorgekommen, dass im Nachhinein Schwachstellen in der Verschlüsselung durch Ransomware gefunden wurden, daher ist es in jedem Fall ratsam, eine Kopie der verschlüsselten Dateien zu behalten. So wurde erst vor einigen Tage bekannt, dass die Verschlüsselung von TeslaCrypt 2.0 erfolgreich geknackt worden ist. Fällt der Befall schon auf, während der Verschlüsselungsprozess noch im Gange ist, ist schnelles Handeln wichtig: Alle Rechner im Netzwerk müssen abgeschaltet und vom Netzwerk und Internet getrennt werden. Anschließend kann eine Bereinigung jedes einzelnen PCs und Servers, zum Beispiel mit einer Rettungs-CD durchgeführt werden. Erst wenn gewährleistet ist, dass alle Systeme in einem Netzwerk frei von der Schadsoftware sind, kann eine Wiederherstellung verlorener Daten aus Backups begonnen werden.

Wichtig ist, dass auch, wenn der Ernstfall bereits eingetreten ist, IT-Experten zu Rate gezogen werden, da in einer solchen Situation bereits kleine Fehler große Schäden anrichten können und ein koordiniertes Vorgehen wichtig ist, um den entstehenden Schaden möglichst gering zu halten. Selbst nach bereits entstandenem Schaden ist es unabdingbar, Maßnahmen zu ergreifen, um eine erneute Infektion abzuwenden. Betrachtet man die Entwicklung der Bedrohungslage in den letzten Monaten und Jahren, ist eine weitere Verschlechterung der Lage nur realistisch und es empfiehlt sich, hier bestmöglich gewappnet zu sein.

AdHoc Maßnahmen bei einem akuten Befall mit einem Erpressertrojaner:

  • Schalten Sie sofort alle IT-Systeme (Computer und Server) ab und trennen Sie Ihr Netzwerk vom Internet
  • Scannen Sie alle Systeme mit einem Virenfreien Bootmedium (CD, DVD) und entsprechender Scansoftware und entfernen Sie den Trojaner rückstandsfrei.
  • Verschaffen Sie sich einen Überblick über den Schaden und den Umfang der Verschlüsselten Daten und Systeme.
  • Überprüfen Sie ob die Verschlüsselten Daten in Ihrer Datensicherung vorhanden sind (unverschlüsselt) und beginnen Sie mit der kontrollierten Rücksicherung.
  • Verschlüsselte Systeme (Clients wie Server) die nicht durch eine Rücksicherung wiederhergestellt werden können müssen neu installiert werden.
  • Scannen Sie vor der Inbetriebnahme nochmals alle Systeme und stellen Sie sicher dass der Trojaner nicht mehr im Netzwerk ist.
  • Aktualisieren Sie alle Virenscanner, installieren Sie die letzten Softwareupdates und Sicherheitspatches aller Programme.

Sie sind Infiziert und benötigen dringend Unterstützung? Schreiben Sie uns oder rufen Sie direkt an Tel. +49 (0) 221 6502 440 und wir melden und kurzfristig bei Ihnen!

Hans-Peter Samberger

Hans Peter Samberger ist Datenschutzbeauftragter der CYBERDYNE und Spezialist für IT-Sicherheit. Er berät Sie bei der Auswahl der richtigen Sicherheitstechnologie, den Organisatorischen Fragen der IT-Sicherheit sowie der Sensibilisierung Ihrer Mitarbeiter.

Dieser Beitrag hat 2 Kommentare
  1. Sehr geehrte Damen und Herren,

    kann sich ein Erpressungstrojaner auch über VPN verbreiten?

    Vielen Dank für Ihre Antwort.

    Mit freundlichen Grüßen
    Reinhard Pachler

    1. Hallo Herr Pachler,

      leider ja. Ist die VPN-Verbindung aufgebaut, besteht ein Netzwerkzugriff und es gibt eine Zugriffsberechtigung. Die bisherigen Erpressungstrojaner nutzen in der Regel jede Netzwerkverbindung auf die sie Zugriff haben aus.

      Können wir helfen?

      Beste Grüße
      Ihr CYBERDYNE Team

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.