Vorsicht: Cryptotrojaner! - Wie Sie sich schützen können

Insbesondere der Krypto-Trojaner „Locky“ wütet derzeit in Deutschland und infiziert quasi stündlich über 5.000 Rechner. Was sich hinter dieser Art von Schadsoftware verbirgt und wie Sie sich vor dem IT-Supergau und dem damit einhergehenden finanziellen Schaden schützen können, zeigen wir Ihnen in dem folgenden, kurzen Beitrag.

Was ist Ransomware?

Ransomware ist eine Schadsoftware, die alle Dateien auf dem infizierten PC und im Netzwerk verschlüsselt. Das bedeutet, dass im Schadensfall auch Netzlaufwerke betroffen sind, welche zur zentralen Speicherung von und für den gemeinsamen Zugriff auf Dateien inzwischen in jedem Unternehmen zu finden sind.

Folglich legt eine Ransomware nicht nur einen Rechner, sondern einen ganzen Betrieb lahm. Sind alle Dateien verschlüsselt, informiert der Trojaner die Betroffenen hierüber und fordert sie gleichzeitig zur Zahlung eines Lösegelds auf.

Den Geschädigten wird nach Bezahlung die Bereitstellung eines Programms oder Schlüssels zur Wiederherstellung beziehungsweise Entschlüsselung der Dateien versprochen. Da es hierfür jedoch keine Garantie gibt, ist von einer Zahlung grundsätzlich abzuraten.

Wie kommt Ransomware auf meinen PC bzw. in mein IT-System?

Die Schadsoftware kann auf verschiedenen, zum Teil auch unbekannten Wegen Rechner oder Netzwerke infizieren. Zwei bekannte Wege sind die folgenden:

• per E-Mail: Sie erhalten eine E-Mail mit scheinbar legitimen Anliegen, z. B. eine Rechnung. Im Anhang dieser E-Mail befindet sich eine Word- oder Excel-Datei mit einem ungewöhnlichen Zusatz in der Endung [Dateiendungen: *.doc(x) oder *.xls(x)]. Öffnen Sie diese Datei, gelangt die Schadsoftware unbemerkt auf Ihren PC und beginnt mit der Verschlüsselung Ihrer Dateien.
• über Sicherheitslücken in Software: Auf jedem PC befindet sich Software, die Sicherheitslücken beinhaltet. Immer wieder tun sich auch in den Internet-Browsern (Internet Explorer, Firefox, …) Sicherheitslücken auf, die regelmäßig genutzt werden.

Aber auch Zusatzsoftware wie der Adobe Flash Player oder Java, welche zum Anzeigen mancher Inhalte im Internet-Browser notwendig sind, enthalten häufig angreifbare Schwachstellen.
Selbst Betriebssysteme sind (egal ob Microsoft Windows, MacOS oder Linux) sind immer Mal wieder von Sicherheitslücken betroffen.

Wie bemerke ich, ob mein PC infiziert ist? Und was dann?

Ein erstes Zeichen für eine Infektion ist eine ungewöhnliche Langsamkeit Ihres Rechners. Diese ist ein Hinweis darauf, dass ein Vorgang im Hintergrund eine hohe Auslastung verursacht. Finden Sie darüber hinaus merkwürdige Dateiendungen wie zum Beispiel die folgenden, bekanntesten, ist Ihr PC höchst wahrscheinlich infiziert: .locky, .micro, .encrypted, .crypt, .xxx, .ttt, .vvv, .zzz, … Allerdings gibt es auch Ransomware-Varianten, die “normale” Dateiendungen wie das bekannte “.mp3” verwenden. In diesem Fall ist eine ungewöhnliche Anzahl an Dateien mit derselben Endung und unbekannten Ursprungs alarmierend.

Sollte Ihr PC infiziert sein oder sollten Sie das vermuten, schalten Sie Ihn umgehend aus!

Am besten, indem Sie den Ein/Aus-Schalter so lange gedrückt halten, bis der PC aus ist. Damit stoppen Sie den Verschlüsselungsvorgang und mit Glück kann man dann sogar verwendeten Schlüssel auslesen und die Dateien wiederherstellen. Wie kann ich mich schützen? So banal es klingen mag: Sein Sie achtsam und folgen Sie Ihren Instinkten!

• Öffnen Sie keine Anhänge aus E-Mails von unbekannten Absendern, insbesondere nicht, wenn es sich bei den Dateien um Word- oder Excel-Dateien handelt!
• Öffnen Sie keine Links zu unbekannten oder dubiosen Internetseiten!
• Achten Sie bei Links auf Fehler oder ungewöhnliche Erweiterungen, z. B.: • paypal.com.tw/… anstatt paypal.com/ • ebay-secure.de/… anstatt ebay.de/

Natürlich können Sie auch verschiedene, technische Vorkehrungen treffen:

An erster Stelle steht ein Anti-Virus-Programm, das immer auf dem aktuellsten Stand sein sollte. Denn Ransomware variiert so häufig, dass es für viele Anti-Virus-Programme schwer ist, diese zuverlässig zu erkennen.

Mittels einer sensibleren Einstellung der Verhaltensüberwachung (Heuristik) können Sie hier für einen höheren Schutz sorgen, auch wenn dies zu häufigeren Fehlalarmen führen kann.

Deaktivieren Sie Plug-Ins in Ihrem Internet-Browser. Vor allem der Flash Player und Java sind häufig Einfallstore für Schadsoftware. Wenn Sie auf die Plug-Ins nicht verzichten können oder wollen, stellen Sie Ihren Browser so ein, dass die Ausführung der Plug-Ins Ihre Bestätigung erfordert.

Somit sind Sie sich immer im Klaren darüber, wenn eine Internetseite ein Plug-In benutzt und können die Ausführung im Zweifelsfall verweigern.

Verwenden Sie Ad- oder Skript-Blocker in Ihrem Browser. Animierte Werbeanzeigen im Internet verbreiten in einigen Fällen Schadsoftware. Erlauben Sie Werbung und die Ausführung von Skripten nur auf vertrauenswürdigen Internetseiten!

Die Datei-Zugriffsrechte sollten für jeden Benutzer auf das Nötigste beschränkt sein. Nutzen Sie die Möglichkeit, Benutzungsrechte auf den Ansichtsmodus zu beschränken, wenn Dateien tatsächlich nur einsehbar, aber nicht änderbar sein müssen.

Deaktivieren Sie die Ausführung von Makros in Microsoft Office. Makros sind kleine Programme in Word- oder Excel-Dateien, die häufig als Transporteure der Schadsoftware missbraucht werden.

Stellen Sie regelmäßige Backups sicher. Sichern Sie wichtige Dateien in nicht zu langen, zeitlichen Abständen auf ein externes Speichermedium, welches nicht dauerhaft mit dem PC/Server verbunden ist.

Dies ist wichtig, da im Schadensfall auch eine Verschlüsselung des Backups erfolgen würde. Wechseln Sie daher auch regelmäßig Ihre Sicherungsmedien und prüfen Sie, ob Ihre Backups erfolgreich waren. Bei Service-Kunden der NOVAGO prüfen wir regelmäßig auch die Sicherungen und weisen auf mögliche Probleme hin.