Ransomware: Daten gegen Lösegeld

SimpLocker, Locky und Keranger haben eines gemeinsam: Sie infizieren als Verschlüsselungs-Trojaner («Ransomware») weltweit Computer, mobile Geräte und Netzwerke. Fordern die Erpresser Lösegeld, ist es für Unternehmen bereits zu spät. Mit den folgenden Tipps können Sie Ihr Portemonnaie und Ihre Daten schützen.

Was im letzten Jahr als Ärgernis für Android-User begann, entwickelt sich aktuell auch für Anwender von Windows und Apple OS X zur Plage. Sinn und Zweck der heimtückischen Trojaner bleibt das Abzocken von Geld. Denn die Ransomware verschlüsselt die Informationen auf den Geräten seiner Opfer und fordert ein üppiges Lösegeld.

Das Bezahlen der Forderung führt in den meisten Fällen jedoch eher zum Verlust des überwiesenen Geldes als zu einer gütlichen Einigung. Denn es gibt keine hundertprozentige Sicherheit, dass nach Zahlung des Lösegelds die betroffenen Daten oder Geräte tatsächlich entsperrt werden. Hinzu kommt, dass damit die Erpresser – und gegebenenfalls weitere kriminelle Aktivitäten – finanziell unterstützt werden.

Selbst wenn die Angreifer einen Entschlüsselungscode schlussendlich übermitteln, funktioniert dieser nicht immer. ESET-Analysen haben dies mehrmals belegt. Etliche Male wurde der von der Ransomware generierte PIN-Code zur Entsperrung des Android-Geräts gar nicht erst an die Erpresser übermittelt. So hatten die Opfer niemals eine Chance, den Zugang zu ihrem Gerät wiederzuerlangen. Ausserdem könnte durch die Zahlungsbereitschaft der Opfer ein weiterer Angriff folgen, um noch mehr Geld zu erbeuten.

Auch das Knacken der Verschlüsselung erweist sich als wenig gewinnbringend. Das Encoding der Daten erfolgt anhand asymmetrischer Code-Verschlüsselungsalgorithmen und ist mithilfe von Reverse Engineering oder Brute Force nicht rückgängig zu machen.

«Bauerntrick» erfordert schnelle Reaktion

So komplex die Malware konstruiert sein mag, die Verbreitungsmethode ist auf jeden Fall ein alter Hut. Häufig werden die Schädlinge mittels Social Engineering über E-Mails mit Anhang in Umlauf gebracht. Meistens geschieht dies als simpler Massenversand. Das Öffnen des verseuchten Beiwerks aktiviert den Trojaner und die Verschlüsselung des betroffenen Computers beginnt. Damit es gar nicht erst zu einer Infektion kommt, empfiehlt sich der Einsatz einer professionellen Security Software.

Für Opfer einer Ransomware-Attacke ist eine schnelle Isolation des infizierten Geräts oberstes Gebot. Die Trennung vom Firmennetzwerk – falls möglich auch von der Stromversorgung – verhindert eine weitere Verbreitung. Dadurch kann die Kommunikation zwischen Malware und C&C-Server noch vor Beginn des Verschlüsselungsprozesses von Dateien und Laufwerken unterbunden werden. Auch wenn es sich dabei um keine sichere Methode handelt, besteht zumindest die Chance, dass einzelne wertvolle Dateien vor der kompletten Verschlüsselung bewahrt werden.

11 SCHRITTE ZUM SCHUTZ VOR DATENVERLUST

1. Erstellen Sie regelmässig Backups von wichtigen Daten.
2. Aktivieren Sie die automatische Aktualisierung Ihrer Software.
3. Schulen Sie Ihre Mitarbeiter.
4. Lassen Sie sich bekannte Dateierweiterungen anzeigen.
5. Blockieren Sie E-Mails anhand der Dateiendungen im Anhang.
6. Deaktivieren Sie die Dateiausführung aus AppData/LocalAppData-Ordnern.
7. Geniessen Sie freigegebene Ordner mit besonderer Vorsicht.
8. Deaktivieren Sie RDP.
9. Nutzen Sie ausschliesslich branchenführende Sicherheitslösungen.
10. Nutzen Sie die Systemwiederherstellung, um das System auf einen sauberen Stand zurückzusetzen.
11. Nutzen Sie ein Standardkonto ohne Administratorrechte.

Zum Schutz vor Cyber-Attacken und IT-Risiken fragen Sie Ihren ESET-Spezialisten.

www.eset.com/ch

Download (PDF, 57KB)

 

%d Bloggern gefällt das: