Adacor - IT Security

Schutz vor Ransomware und Krypto-Trojanern ist möglich

8. März 2017 von Dr. Christopher Kunz

Einer der besorgniserregendsten Security-Trends der letzten beiden Jahre ist zweifelsohne die massenhafte Verbreitung von Krypto-Trojanern. Diese Untergattung der sogenannten „Ransomware“, also erpresserischer Malware, agiert besonders perfide – sie verschlüsselt alle Dateien auf dem Computer des Opfers und fordert zur Entschlüsselung eine anonyme Überweisung.

Die Erpressung mit Malware ist nicht neu – der BKA-Trojaner verbreitete bereits vor fünf Jahren Angst und Schrecken. Er verschlüsselte keine Dateien, sondern blockierte Windows-Computer mit einem speziellen Vorschaltbildschirm. Während derartige Sperren noch recht leicht zu entfernen sind, stehen Anwender bei einer Krypto-Trojaner-Infektion vor nahezu unlösbaren Problemen. Doch die gute Nachricht lautet: Ein Schutz vor Krypto-Trojanern ist möglich.

Welche Krypto-Trojaner gibt es?

Krypto-Trojaner treten am häufigsten unter Windows auf: das Microsoft-Betriebssystem bietet dank seiner immensen Verbreitung das größte Potenzial für Malware-Autoren, Geld mit ihrem Werk zu verdienen. Aber auch unter MacOS X (KeRanger) und sogar auf Webservern (CTB-Locker) machen sich die fiesen Schädlinge breit und halten virtuell die Hand auf.

Namen wie Locky, Coinvault, Bitcryptor, Goldeneye oder Popcorn Time stehen für im Detail unterschiedliche Angriffsverfahren, aber dasselbe Grundprinzip: Über klassische Infektionsvektoren wie etwa Drive-By-Downloads, Ausnutzen von Browser- und Plugin-Schwachstellen oder Social Engineering gelangen die Trojaner auf den Rechner des Opfers und werden ausgeführt.

Digitale Erpressung nennt man Ransomware

Besonders perfide Krypto-Trojaner

Besonders fies ist eine Ausbreitungsmethode des Trojaners „Popcorn Time“. Er bietet Opfern an, den notwendigen Schlüssel für ihre Dateien herauszurücken, wenn sie von sich aus zwei Infektionen durchführen. Den notwendigen Link für eine angepasste Version des Trojaners liefert Popcorn Time gleich mit.

Goldeneye hingegen tarnt sich als Bewerbung und richtet sich speziell an Personalverantwortliche. Die E-Mail, der eine harmlose PDF-Datei und ein mit bösartigen Makros versehenes Excel-Dokument anhängen, ist so gut gemacht, dass selbst misstrauische Anwender nur auf den zweiten Blick Verdacht schöpfen dürften.

Nach der initialen Infektion verschlüsselt der Trojaner so viele Dateien des Opfers wie möglich – bis zu 60 verschiedene Dateitypen laufen durch die Krypo-Algorithmen und bleiben als Datensalat auf der Festplatte zurück. Inzwischen haben die Autoren der Malware sich mit kryptographischen Verfahren bewaffnet, die nicht ohne Weiteres knackbar sind. Sind die Daten einmal verschlüsselt, bleibt wenig Handlungsspielraum.
Üblicherweise werden die Infizierten mittels Popups über ihre missliche Lage in Kenntnis gesetzt und auf Webseiten im Darknet geschleust, über die sie das Lösegeld in Bitcoins erwerben können. Beträge im hohen dreistelligen Eurobereich sind üblich. Je nach Größe des Datenträgers auch mal vierstellige Lösegelder.

Was tun bei Infektion?

Ist das Kind einmal in den Brunnen gefallen, sind – wie oben erwähnt – die Handlungsmöglichkeiten sehr begrenzt. Wohl dem, der regelmäßige Backups seiner Daten gemacht hat und sicher sein kann, dass diese nicht auch infiziert sind. Ein Backup einzuspielen, ist nämlich der einzige garantierte Weg, die verschlüsselten Daten zurückzubekommen.

Von einer Zahlung der geforderten Beträge raten Experten und das BSI ab. Es ist nicht sicher, dass die Kriminellen ihr Wort halten und nach Zahlung des Lösegelds das Schlüsselmaterial zur Verfügung stellen – manche Trojaner waren sogar derart programmiert, dass das technisch überhaupt nicht möglich gewesen wäre. Von den Kriminellen genannte Alternativen zur Zahlung – wie die Infektion anderer Nutzer – sind strafbar, und sollten auf keinen Fall in Erwägung gezogen werden.

Nutzer, die auf ihre Daten nicht dringend angewiesen sind, aber kein Backup haben, könnten darauf hoffen, dass die Autoren der Malware von den Behörden gefasst werden oder den Betrieb einstellen; in beiden Fällen ist es bereits vorgekommen, dass funktionierende Schlüssel kostenlos zur Verfügung gestellt wurden.

Cloud Journey für den Mittelstand

Die Grundlagen einer erfolgreichen Cloud Journey

  • - Antworten auf Ihre wichtigsten Fragen der Cloud Migration.
  • - Handfeste Beispiele für unterschiedliche Szenarien
  • - In drei Stufen ein digital erfolgreiches Unternehmen werden


Jetzt mehr wissen

Wie kann man sich schützen?

Generell sollten Unternehmen ihre Mitarbeiter gründlich und regelmäßig schulen, um sie für die Gefahr zu sensibilisieren, die von Krypto-Trojanern ausgeht. Für Nutzer und Firmen, die mit großen Datenmengen arbeiten (wie zum Beispiel Webhoster), ist es wichtig, Schutzmaßnahmen gegen potenzielle Angriffe via Ransomware zu ergreifen.

Für Anwender und Firmen, die mit großen Datenmengen arbeiten (wie zum Beispiel Webhoster) ist es wichtig, Schutzmaßnahmen gegen potenzielle Angriffe via Ransomware zu ergreifen. Den wirkungsvollsten Schutz bieten aktuell regelmäßige Backups verbunden mit der Kontrolle, ob sie ordnungsgemäß funktioniert haben und wieder eingespielt werden können. Diese Wiedereinspielungstests von Backups bieten Hosting-Unternehmen wie ADACOR ihren Kunden als zusätzliche Serviceleistung an.

Parallel gilt es, die Angriffsfläche zu minimieren: Je weniger Programme zum Öffnen von Inhalten und zur Ausführung von Codes zur Verfügung stehen, desto weniger Schwachstellen können ausgenutzt werden. Daher sollte nicht benötigte Software generell deinstalliert werden. E-Mails sollten grundsätzlich immer vor dem Öffnen eines Anhangs gelesen und auf Echtheit überprüft werden und Anhänge von E-Mails unbekannter Absender keinesfalls geöffnet werden.

Der BSI hat ein Themenpapier veröffentlicht, das den aktuelle Infos und Möglichkeiten der Prävention eröffnet. Es lässt sich auf dieser Seite des BSI direkt herunterladen.

FAQ-Video zu den Backup-Szenarien beim Hosting

Den wirkungsvollsten Schutz bietet beim Hosting die richtige Backup-Strategie. Welche Optionen dafür in Frage kommen lesen Sie im Blogbeitrag.

Regelmäßige Sicherheitsupdates auf jedem Arbeitsplatzrechner oder Server sind eine Kardinalspflicht des Administrators. Dennoch schlüpfen viele Kryptotrojaner noch immer durch Lücken in veralteten Browsern und es bedarf bisweilen wenig mehr als eines falschen Klicks auf einer Website, um sich zu infizieren.

Da die Malware wellenartig verbreitet wird und häufig am frühen Vormittag – bevor sie von Virenscannern als bösartig erkannt wird – in den Postfächern aufschlägt, ist auf Antivirus-Software nur bedingt Verlass.
Wo immer möglich, sollte die Angriffsfläche verkleinert werden, etwa durch den Verzicht auf Makros in Office-Dokumenten während des regulären Geschäftsbetriebs. Sind die Kollegen nicht daran gewöhnt, einen Dialog der Marke „Dieses Dokument enthält Makros“ zu akzeptieren, sobald sie ein Office-Dokument öffnen, so werden sie eher hellhörig, wenn das plötzlich von ihnen verlangt wird.

Die wirksamste Maßnahme gegen Krypto-Trojaner ist jedoch ein aktuelles und zuverlässiges Backup. Können versehentlich infizierte Daten im Handumdrehen wiederhergestellt werden, verpufft die Drohkulisse der Krypto-Trojaner und die Kriminellen müssen sich andere Opfer suchen.

Diesen Beitrag habe ich ursprünglich für Security-Insider.de verfasst.

Verwandte Artikel