Schutz vor Ransomware und Krypto-Trojanern ist möglich

Digitale Erpressung nennt man RansomwareEiner der besorgniserregendsten Security-Trends der letzten beiden Jahre ist zweifelsohne die massenhafte Verbreitung von Krypto-Trojanern. Diese Untergattung der sogenannten „Ransomware“, also erpresserischer Malware, agiert besonders perfide – sie verschlüsselt alle Dateien auf dem Computer des Opfers und fordert zur Entschlüsselung eine anonyme Überweisung.

Die Erpressung mit Malware ist nicht neu – der BKA-Trojaner verbreitete bereits vor fünf Jahren Angst und Schrecken. Er verschlüsselte keine Dateien, sondern blockierte Windows-Computer mit einem speziellen Vorschaltbildschirm. Während derartige Sperren noch recht leicht zu entfernen sind, stehen Anwender bei einer Krypto-Trojaner-Infektion vor nahezu unlösbaren Problemen. Doch die gute Nachricht lautet: Ein Schutz vor Krypto-Trojanern ist möglich.

Welche Krypto-Trojaner gibt es?

Krypto-Trojaner treten am häufigsten unter Windows auf: das Microsoft-Betriebssystem bietet dank seiner immensen Verbreitung das größte Potenzial für Malware-Autoren, Geld mit ihrem Werk zu verdienen. Aber auch unter MacOS X (KeRanger) und sogar auf Webservern (CTB-Locker) machen sich die fiesen Schädlinge breit und halten virtuell die Hand auf.

Namen wie Locky, Coinvault, Bitcryptor, Goldeneye oder Popcorn Time stehen für im Detail unterschiedliche Angriffsverfahren, aber dasselbe Grundprinzip: Über klassische Infektionsvektoren wie etwa Drive-By-Downloads, Ausnutzen von Browser- und Plugin-Schwachstellen oder Social Engineering gelangen die Trojaner auf den Rechner des Opfers und werden ausgeführt.

Besonders perfide Krypto-Trojaner

Besonders fies ist eine Ausbreitungsmethode des Trojaners „Popcorn Time“. Er bietet Opfern an, den notwendigen Schlüssel für ihre Dateien herauszurücken, wenn sie von sich aus zwei Infektionen durchführen. Den notwendigen Link für eine angepasste Version des Trojaners liefert Popcorn Time gleich mit.

Goldeneye hingegen tarnt sich als Bewerbung und richtet sich speziell an Personalverantwortliche. Die E-Mail, der eine harmlose PDF-Datei und ein mit bösartigen Makros versehenes Excel-Dokument anhängen, ist so gut gemacht, dass selbst misstrauische Anwender nur auf den zweiten Blick Verdacht schöpfen dürften.

Nach der initialen Infektion verschlüsselt der Trojaner so viele Dateien des Opfers wie möglich – bis zu 60 verschiedene Dateitypen laufen durch die Krypo-Algorithmen und bleiben als Datensalat auf der Festplatte zurück. Inzwischen haben die Autoren der Malware sich mit kryptographischen Verfahren bewaffnet, die nicht ohne Weiteres knackbar sind. Sind die Daten einmal verschlüsselt, bleibt wenig Handlungsspielraum.
Üblicherweise werden die Infizierten mittels Popups über ihre missliche Lage in Kenntnis gesetzt und auf Webseiten im Darknet geschleust, über die sie das Lösegeld in Bitcoins erwerben können. Beträge im hohen dreistelligen Eurobereich sind üblich. Je nach Größe des Datenträgers auch mal vierstellige Lösegelder.

Was tun bei Infektion?

Ist das Kind einmal in den Brunnen gefallen, sind – wie oben erwähnt – die Handlungsmöglichkeiten sehr begrenzt. Wohl dem, der regelmäßige Backups seiner Daten gemacht hat und sicher sein kann, dass diese nicht auch infiziert sind. Ein Backup einzuspielen, ist nämlich der einzige garantierte Weg, die verschlüsselten Daten zurückzubekommen.

Von einer Zahlung der geforderten Beträge raten Experten und das BSI ab. Es ist nicht sicher, dass die Kriminellen ihr Wort halten und nach Zahlung des Lösegelds das Schlüsselmaterial zur Verfügung stellen – manche Trojaner waren sogar derart programmiert, dass das technisch überhaupt nicht möglich gewesen wäre. Von den Kriminellen genannte Alternativen zur Zahlung – wie die Infektion anderer Nutzer – sind strafbar, und sollten auf keinen Fall in Erwägung gezogen werden.

Nutzer, die auf ihre Daten nicht dringend angewiesen sind, aber kein Backup haben, könnten darauf hoffen, dass die Autoren der Malware von den Behörden gefasst werden oder den Betrieb einstellen; in beiden Fällen ist es bereits vorgekommen, dass funktionierende Schlüssel kostenlos zur Verfügung gestellt wurden.

Image

filoo ClouDEasy

Sie wollen eine sichere ClouD? Dann haben Sie diese mit ClouDEasy soeben gefunden. Hier bekommen Sie eine skalierbare Lösung, mit der Sie sofort loslegen können. Es gibt keine lange Einarbeitungszeit – diese ClouD funktioniert einfach.

Jetzt direkt informieren

Wie kann man sich schützen?

Generell sollten Unternehmen ihre Mitarbeiter gründlich und regelmäßig schulen, um sie für die Gefahr zu sensibilisieren, die von Krypto-Trojanern ausgeht. Für Nutzer und Firmen, die mit großen Datenmengen arbeiten (wie zum Beispiel Webhoster), ist es wichtig, Schutzmaßnahmen gegen potenzielle Angriffe via Ransomware zu ergreifen.

Für Anwender und Firmen, die mit großen Datenmengen arbeiten (wie zum Beispiel Webhoster) ist es wichtig, Schutzmaßnahmen gegen potenzielle Angriffe via Ransomware zu ergreifen. Den wirkungsvollsten Schutz bieten aktuell regelmäßige Backups verbunden mit der Kontrolle, ob sie ordnungsgemäß funktioniert haben und wieder eingespielt werden können. Diese Wiedereinspielungstests von Backups bieten Hosting-Unternehmen wie ADACOR ihren Kunden als zusätzliche Serviceleistung an.

Parallel gilt es, die Angriffsfläche zu minimieren: Je weniger Programme zum Öffnen von Inhalten und zur Ausführung von Codes zur Verfügung stehen, desto weniger Schwachstellen können ausgenutzt werden. Daher sollte nicht benötigte Software generell deinstalliert werden. E-Mails sollten grundsätzlich immer vor dem Öffnen eines Anhangs gelesen und auf Echtheit überprüft werden und Anhänge von E-Mails unbekannter Absender keinesfalls geöffnet werden.

Der BSI hat ein Themenpapier veröffentlicht, das den aktuelle Infos und Möglichkeiten der Prävention eröffnet. Es lässt sich auf dieser Seite des BSI direkt herunterladen.

FAQ-Video zu den Backup-Szenarien beim Hosting

Den wirkungsvollsten Schutz bietet beim Hosting die richtige Backup-Strategie. Welche Optionen dafür in Frage kommen lesen Sie im Blogbeitrag.

Regelmäßige Sicherheitsupdates auf jedem Arbeitsplatzrechner oder Server sind eine Kardinalspflicht des Administrators. Dennoch schlüpfen viele Kryptotrojaner noch immer durch Lücken in veralteten Browsern und es bedarf bisweilen wenig mehr als eines falschen Klicks auf einer Website, um sich zu infizieren.

Da die Malware wellenartig verbreitet wird und häufig am frühen Vormittag – bevor sie von Virenscannern als bösartig erkannt wird – in den Postfächern aufschlägt, ist auf Antivirus-Software nur bedingt Verlass.
Wo immer möglich, sollte die Angriffsfläche verkleinert werden, etwa durch den Verzicht auf Makros in Office-Dokumenten während des regulären Geschäftsbetriebs. Sind die Kollegen nicht daran gewöhnt, einen Dialog der Marke „Dieses Dokument enthält Makros“ zu akzeptieren, sobald sie ein Office-Dokument öffnen, so werden sie eher hellhörig, wenn das plötzlich von ihnen verlangt wird.

Die wirksamste Maßnahme gegen Krypto-Trojaner ist jedoch ein aktuelles und zuverlässiges Backup. Können versehentlich infizierte Daten im Handumdrehen wiederhergestellt werden, verpufft die Drohkulisse der Krypto-Trojaner und die Kriminellen müssen sich andere Opfer suchen.

Diesen Beitrag habe ich ursprünglich für Security-Insider.de verfasst.

, , , ,


Weitere Artikel zum Thema lesen

Biz & Trends, IT Security

Standardisierte Protokollerstellung mit intranetbasierter Softwarelösung

Die Erstellung von Protokollen mittels webbasierten Software erlaubt es Arbeitsabläufe zu vereinfachen.

weiter lesen

Achtung Ransomware – die wichtigsten Verhaltensmaßnahmen

IT Security

Achtung Ransomware – die wichtigsten Verhaltensmaßnahmen

Unsere Tipps wie man sich vor den Trojanern schützen kann.

weiter lesen

Intrusion Detection System – System und Netzwerke richtig absichern

Cloud, Hosting, IT Security, IT-News

Intrusion Detection System – System und Netzwerke richtig absichern

Bei der Entwicklung von Webseiten ist die Absicherung des Systems vor Hacking-Attacken wichtig. So unterstützt ein Intrusion Detection System die frühzeitige Erkennung von Angriffen...

weiter lesen


Neueste Nachrichten von ADACOR

Cloud

DevOps Private Cloud am Start

Mit der neuen DevOps Private Cloud sind Hosting-Projekte in Zukunft ready for DevOps!

weiter lesen

Biz & Trends

Wie das Wertekonstrukt eines Unternehmens entsteht

Werte, die im Unternehmen vom Management real vorgelebt werden, bilden das Fundament. Unsere Checkliste hilft bei der Umsetzung eines Wertekanons.

weiter lesen

SLA – Risiken und Nebenwirkungen entdecken

Hosting

Risiken und Begleiteffekte von SLAs

Wieso technisch belastbare Service Level Agreements besser für ihr Business sind als rein kaufmännisch kalkuierte SLA.

weiter lesen