Foto: Trend Micro

Ransomware

Niemals auf Cyber-Erpresser eingehen!

Ransomware und kein Ende – immer wieder gibt es Nachrichten zu neuen Varianten der Erpresser-Software und deren Opfern. Sicherheitsexperte Udo Schneider vom IT-Sicherheitsanbieter Trend Micro erklärt in einem Kommentar, wie man darauf richtig reagiert.

Ende 2015 hat Trend Micro vorhergesagt, dass 2016 das Jahr der Cyber-Erpressung werden würde. Und dies nicht, weil den Cyberkriminellen besonders ausgefeilte neue Technologien zur Verfügung stünden, sondern weil das Spiel mit der Angst ein äußerst effektives Mittel darstellt, um an das Geld der Opfer zu kommen. Das erklärt auch, dass – von wenigen Ausnahmen abgesehen – in der Berichterstattung zu Ransomware in diesem Jahr technisch gesehen nicht von gezielten Angriffen die Rede sein kann.

Der Erfolg dieser schon seit vielen Jahren bekannten Masche und Technik rührt vielmehr daher, dass den Opfern – zum Beispiel wird im Krankenhauswesen in Deutschland vielfach mit aktivierten Makros in Office-Lösungen gearbeitet – vermeintlich keine andere Wahl bleibt, als auf die Forderungen der Cyber-Erpresser einzugehen, um wieder an ihre Daten zu kommen.

Trotz dieser menschlich nur zu verständlichen Reaktion raten wir allen Betroffenen dringend, das geforderte Lösegeld nicht zu bezahlen. Denn es gibt keine Garantie, dass sie danach den Schlüssel auch tatsächlich bekommen, um mit ihren Dateien wieder arbeiten zu können. Außerdem sind Fälle bekannt geworden, dass nach der Zahlung weitere Geldforderungen erhoben wurden, statt den Schlüssel zu liefern. Es zahlt sich also buchstäblich nicht aus, den Erpressern nachzugeben. Vielmehr führt das dazu, dass diese sich in ihren Machenschaften und immer fieseren psychologischen Spielchen mit ihren Opfern bestärkt fühlen – ein Teufelskreis, den nur die Betroffenen durchbrechen können.

Als erste Hilfe im Fall einer Infektion hilft Trend Micro mit zwei kostenlos abrufbaren Tools: „Trend Micro Crypto-Ransomware File Decryptor“ und „Trend Micro Anti-Ransomware“. Damit können sich betroffene Privatanwender, aber auch Unternehmen in vielen Fällen aus den Fängen der Hintermänner dieser Art von Schadsoftware befreien: Sie können verschlüsselte Dateien auf mit „TeslaCrypt“ und „CryptXXX“ infizierten Rechnern wieder entschlüsseln und eventuelle Bildschirmsperren aufheben. Denn eines sollten sie bei einer Infektion auf keinen Fall tun: Auf die Forderungen der Erpresser eingehen und Lösegeld bezahlen!

Nein zu Ransomware

Neben den erwähnten Notfall-Tools empfehlen wir daher Privatanwendern wie Unternehmen zwei grundlegende Strategien, um sich vor Infektionen mit Erpresser-Software zu wappnen:

1. Backups anlegen: 3-2-1

Eine grundlegende Möglichkeit, sich vor Erpressersoftware zu schützen, sind regelmäßige Datensicherungen (Backups). Dabei sollten die Anwender der 3-2-1-Regel folgen – drei Kopien in zwei Formaten auf einem isolierten Medium. So lassen sich zum Beispiel die Familienfotos erstens auf einem externen Speichermedium (externe Festplatte oder Stick) speichern, zweitens in der Cloud ablegen und drittens auf eine CD brennen. Der Cloud-Speicher und der nicht eingesteckte USB-Stick verhindern dabei, dass der Schädling auch die Sicherungskopien verschlüsseln und löschen kann. Sollte kein Cloud-Speicher vorhanden und der USB-Stick mit dem Rechner verbunden sein, so wären wenigstens die auf CD gebrannten Bilder sicher, selbst wenn diese im CD-Laufwerk eingelegt wäre.

Wichtig dabei ist, nicht nur die Daten und Dateien, sondern auch ein System-Image zu sichern – im Falle von Windows am besten einmal in der Woche. Hierfür eignet sich wegen der Datenmenge idealerweise eine externe Festplatte, die nur während der Sicherung mit dem Rechner per USB-Schnittstelle verbunden wird. Kommt es zu einer Infektion, ist es immer empfehlenswert, den befallenen Rechner komplett neu aufzusetzen – selbst nach geglückter Entfernung des Schädlings. Schließlich kann es immer möglich sein, dass einzelne Komponenten einer Bedrohung weiter auf dem Gerät verbleiben und bei künftigen Kampagnen wieder ihr Unwesen treiben.

2. Mehrschichtige Sicherheitslösungen

Generell sollten Anwender auf ihren Geräten eine moderne Sicherheitssoftware installieren und stets auf dem aktuellen Stand halten. Außerdem sollten diese Schutzlösungen über Cloud-Sicherheitsmechanismen verfügen, damit etwa Webadressen, die zu Erpresser- und anderer Schadsoftware führen, oder E-Mails mit bösartigen Links geblockt und bösartige Dateien gar nicht heruntergeladen oder ausgeführt werden. Zusätzlich bietet die Verhaltensanalyse solcher Sicherheitssoftware Schutz und kann eine unbekannte oder zunächst nicht erkannte Bedrohung noch vor dem eigentlichen Schaden abwehren.

Lösungen zum Schutz vor Bedrohungen Trend Micro-Kunden – Privatanwender wie Unternehmen – können sich durch Lösungen wie „Security“, „Smart Protection Suites“, „Worry-Free Business Security“, „Deep Discovery Email Inspector“, „InterScan Web Security“, „Deep Security“ und „Endpoint Application Control“ vor Bedrohungen à la „TeslaCrypt“ und „CryptXXX“ schützen. „Endpoint Application Control“ verhindert dabei das Installieren und Ausführen jeglicher Software, die nicht vorher von den Administratoren als vertrauenswürdig und zugelassen definiert wurde (so genanntes „Whitelisting“).

Udo Schneider, Pressesprecher bei Trend Micro

Foto: Fritz & Macziol

Trusted Ownership

Abhilfe gegen Kryptotrojaner

Seit mehreren Jahren treiben Ransomwares und Kryptotrojaner ihr Unwesen. Sie dringen heimlich in Systeme ein, verschlüsseln Daten und erpressen Lösegeld. Herkömmliche Antivirensysteme stehen der Gefahr oft machtlos gegenüber. Aber ein wirkungsvolles Gegenmittel steht bereit: das Trusted-Ownership-Prinzip.

Foto: Pixabay

Cyber-Krisenmanagement bei Ransomware

Vorbereitet sein

Für betroffene Unternehmen von Ransomware-Attacken stellen sich nicht nur hinsichtlich der IT-Systeme viele Fragen, sondern auch zum übergeordneten Krisenmanagement.

Foto: Gerd Altmann/ Pixelio.de

Schadsoftware

BSI warnt vor Verschlüsselungs-Trojaner

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Polizeiliche Kriminalprävention der Länder und des Bundes weisen auf eine neue Variante von Schadsoftware hin. Kriminelle versuchen damit, Geld von PC-Besitzern zu erpressen.