Daniel Görtz, Managing Director, NOVAGO GmbH & Co. KG
Maximilian Kramer, Netzwerkspezialist, NOVAGO GmbH & Co. KG
Die Anzahl von Berichten über Angriffe auf die Unternehmens-IT durch Verschlüsselungs- und Erpressungstrojaner, auch Ransomware genannt, nimmt seit einiger Zeit stetig zu.
Dabei verfügen offenbar selbst große Unternehmen und Institutionen wie Krankenhäuser und ein Fraunhofer-Institut, welche viel Zeit und Geld in Ihre IT-Sicherheit investieren, über keinen ausreichenden Schutz vor dieser Art von Schadsoftware.
Insbesondere der Krypto-Trojaner „Locky“ wütet derzeit in Deutschland und infiziert quasi stündlich über 5.000 Rechner. Was sich hinter dieser Art von Schadsoftware verbirgt und wie Sie sich vor dem IT-Supergau und dem damit einhergehenden finanziellen Schaden schützen können, zeigen wir Ihnen in dem folgenden, kurzen Beitrag.
Was ist Ransomware?
Ransomware ist eine Schadsoftware, die alle Dateien auf dem infizierten PC und im Netzwerk verschlüsselt. Das bedeutet, dass im Schadensfall auch Netzlaufwerke betroffen sind, welche zur zentralen Speicherung von und für den gemeinsamen Zugriff auf Dateien inzwischen in jedem Unternehmen zu finden sind.
Folglich legt eine Ransomware nicht nur einen Rechner, sondern einen ganzen Betrieb lahm. Sind alle Dateien verschlüsselt, informiert der Trojaner die Betroffenen hierüber und fordert sie gleichzeitig zur Zahlung eines Lösegelds auf.
Den Geschädigten wird nach Bezahlung die Bereitstellung eines Programms oder Schlüssels zur Wiederherstellung beziehungsweise Entschlüsselung der Dateien versprochen. Da es hierfür jedoch keine Garantie gibt, ist von einer Zahlung grundsätzlich abzuraten.
Wie kommt Ransomware auf meinen PC bzw. in mein IT-System?
Die Schadsoftware kann auf verschiedenen, zum Teil auch unbekannten Wegen Rechner oder Netzwerke infizieren. Zwei bekannte Wege sind die folgenden:
Aber auch Zusatzsoftware wie der Adobe Flash Player oder Java, welche zum Anzeigen mancher Inhalte im Internet-Browser notwendig sind, enthalten häufig angreifbare Schwachstellen.
Selbst Betriebssysteme sind (egal ob Microsoft Windows, MacOS oder Linux) sind immer Mal wieder von Sicherheitslücken betroffen.
Wie bemerke ich, ob mein PC infiziert ist? Und was dann?
Ein erstes Zeichen für eine Infektion ist eine ungewöhnliche Langsamkeit Ihres Rechners. Diese ist ein Hinweis darauf, dass ein Vorgang im Hintergrund eine hohe Auslastung verursacht. Finden Sie darüber hinaus merkwürdige Dateiendungen wie zum Beispiel die folgenden, bekanntesten, ist Ihr PC höchst wahrscheinlich infiziert: .locky, .micro, .encrypted, .crypt, .xxx, .ttt, .vvv, .zzz, … Allerdings gibt es auch Ransomware-Varianten, die “normale” Dateiendungen wie das bekannte “.mp3” verwenden. In diesem Fall ist eine ungewöhnliche Anzahl an Dateien mit derselben Endung und unbekannten Ursprungs alarmierend.
Sollte Ihr PC infiziert sein oder sollten Sie das vermuten, schalten Sie Ihn umgehend aus!
Am besten, indem Sie den Ein/Aus-Schalter so lange gedrückt halten, bis der PC aus ist. Damit stoppen Sie den Verschlüsselungsvorgang und mit Glück kann man dann sogar verwendeten Schlüssel auslesen und die Dateien wiederherstellen. Wie kann ich mich schützen? So banal es klingen mag: Sein Sie achtsam und folgen Sie Ihren Instinkten!
Natürlich können Sie auch verschiedene, technische Vorkehrungen treffen:
An erster Stelle steht ein Anti-Virus-Programm, das immer auf dem aktuellsten Stand sein sollte. Denn Ransomware variiert so häufig, dass es für viele Anti-Virus-Programme schwer ist, diese zuverlässig zu erkennen.
Mittels einer sensibleren Einstellung der Verhaltensüberwachung (Heuristik) können Sie hier für einen höheren Schutz sorgen, auch wenn dies zu häufigeren Fehlalarmen führen kann.
Deaktivieren Sie Plug-Ins in Ihrem Internet-Browser. Vor allem der Flash Player und Java sind häufig Einfallstore für Schadsoftware. Wenn Sie auf die Plug-Ins nicht verzichten können oder wollen, stellen Sie Ihren Browser so ein, dass die Ausführung der Plug-Ins Ihre Bestätigung erfordert.
Somit sind Sie sich immer im Klaren darüber, wenn eine Internetseite ein Plug-In benutzt und können die Ausführung im Zweifelsfall verweigern.
Verwenden Sie Ad- oder Skript-Blocker in Ihrem Browser. Animierte Werbeanzeigen im Internet verbreiten in einigen Fällen Schadsoftware. Erlauben Sie Werbung und die Ausführung von Skripten nur auf vertrauenswürdigen Internetseiten!
Die Datei-Zugriffsrechte sollten für jeden Benutzer auf das Nötigste beschränkt sein. Nutzen Sie die Möglichkeit, Benutzungsrechte auf den Ansichtsmodus zu beschränken, wenn Dateien tatsächlich nur einsehbar, aber nicht änderbar sein müssen.
Deaktivieren Sie die Ausführung von Makros in Microsoft Office. Makros sind kleine Programme in Word- oder Excel-Dateien, die häufig als Transporteure der Schadsoftware missbraucht werden.
Stellen Sie regelmäßige Backups sicher. Sichern Sie wichtige Dateien in nicht zu langen, zeitlichen Abständen auf ein externes Speichermedium, welches nicht dauerhaft mit dem PC/Server verbunden ist.
Dies ist wichtig, da im Schadensfall auch eine Verschlüsselung des Backups erfolgen würde. Wechseln Sie daher auch regelmäßig Ihre Sicherungsmedien und prüfen Sie, ob Ihre Backups erfolgreich waren. Bei Service-Kunden der NOVAGO prüfen wir regelmäßig auch die Sicherungen und weisen auf mögliche Probleme hin.
Konnten wir Ihnen einen guten Überblick über die aktuelle Gefahr von Ransomware geben und vor allem nachvollziehbare Wege zur Vermeidung einer Infektion aufzeigen?
Wenn ja, freuen wir uns, wenn Sie unsere kleine Meldung mit Freunden und Kollegen teilen.
Die Weitergabe dieses Beitrags ist unter folgenden Bedingungen möglich: Dieses Material steht unter der Creative-Commons-Lizenz Namensnennung – Nicht-kommerziell – Weitergabe unter gleichen Bedingungen 4.0 International. Um eine Kopie dieser Lizenz zu sehen, besuchen Sie http://creativecommons.org/licenses/by-nc-sa/4.0/.
– kommen Sie einfach auf uns zu: