Verschlüsselungstrojaner

Bei Verschlüsselungstrojanern (auch „Erpressungstrojaner“ genannt) handelt es sich um eine bestimmte Familie von Schadsoftware (Malware), welche Dateien auf dem Computer des Opfers sowie auf verbundenen Netzlaufwerken (Network shares) verschlüsselt und somit für das Opfer unbrauchbar macht. Die Ransomware zeigt danach dem Opfer einen „Sperrbildschirm“ an, wobei dieser das Opfer auffordert, eine bestimmte Summe in Form von Bitcoins (eine Internetwährung) an die Angreifer zu bezahlen, damit die Dateien wieder entschlüsselt werden. Die Landschaft von erpresserischer Schadsoftware weitet sich ständig aus und die aktuellen Versionenbesitzen ein viel grösseres Schadenpotential als die ersten Versionen, welche nur den Bildschirm blockierten ohne Daten zu beschädigen. Einfallstor für solche Verschlüsselungstrojaner sind insbesondere verseuchte E-Mail und gehackte Webseiten.

Auswirkung und Gefahren

  • Unbrauchbarmachen von Daten auf dem Computer
  • Finanzieller Schaden bei Bezahlung des Lösegeldes
Massnahmen

Präventive Massnahmen

  • Erstellen Sie regelmässig eine Sicherungskopie (Backup) Ihrer Daten. Die Sicherungskopie sollte offline, das heisst auf einem externen Medium wie Beispielsweise einer externen Festplatte gespeichert werden. Stellen Sie daher sicher, dass Sie das Medium, auf welche Sie die Sicherungskopie erstellen, nach dem Backup-Vorgang vom Computer trennen. Ansonsten werden bei einem Befall durch Ransomware möglicherweise auch die Daten auf dem Backup-Medium verschlüsselt und unbrauchbar.
  • Sowohl Betriebssysteme als auch alle auf den Computern installierte Applikationen (z. B. Adobe Reader, Adobe Flash, Sun Java etc.) müssen konsequent auf den neuesten Stand gebracht werden. Falls vorhanden, am besten mit der automatischen Update-Funktion.
  • Seien Sie immer vorsichtig bei verdächtigen E-Mails, bei E-Mails, welche Sie unerwartet bekommen, oder welche von einem unbekannten Absender stammen. Befolgen Sie hier keine Anweisungen im Text, öffnen Sie keinen Anhang und folgen Sie keinen Links.
  • Verwenden Sie stets einen aktuellen Virenschutz. Falls Sie einen kostenpflichtigen Virenschutz verwenden, stellen Sie sicher, dass Sie das Abonnement jeweils wieder für ein zusätzliches Jahr verlängern. Ansonsten wird der Virenschutz nutzlos.
  • Eine Personal Firewall muss installiert sein und aktuell gehalten werden.

 

Massnahmen nach einem erfolgreichen Angriff

  • Im Falle einer Infektion empfehlen wir den Computer sofort von allen Netzwerken zu trennen.  Danach ist  eine Neuinstallation des Systems und das Ändern aller Passwörter unumgänglich.
  • Nachdem der erfolgten Säuberung des Computers, können, sofern vorhanden, die Backup-Daten wieder zurückgespielt werden. Wenn kein Backup der Daten vorliegt, ist es empfehlenswert, die verschlüsselten Daten zu behalten und zu sichern, damit Sie sie allenfalls später noch entschlüsseln können, sollte hierzu eine Lösung gefunden werden.
  • In jedem Falle empfiehlt MELANI den Vorfall der Koordinationsstelle zur Bekämpfung der Internetkriminalität (KOBIK) zur Kenntnis zu bringen und Anzeige bei der lokalen Polizeidienststelle zu erstatten.
  • Verzichten Sie darauf, ein Lösegeld zu bezahlen, da dies die kriminellen Infrastrukturen stärkt und dies somit den Kriminellen ermöglicht, weitere Opfer zu erpressen. Ausserdem gibt es keine Garantie die Schlüssel für die Entschlüsselung zu bekommen.

 

Für Unternehmen empfiehlt MELANI zusätzlich zu den oben genannten Massnahmen folgendes:

  • Sie können den Schutz Ihrer IT-Infrastruktur vor Schadsoftware (wie Beispielsweise Ransomware) durch die Verwendung von Windows AppLocker zusätzlich stärken. Durch den Einsatz von Windows AppLocker können Sie definieren, welche Programme auf den Computer in Ihrem Unternehmen ausgeführt werden dürfen.
  • Durch die Verwendung des Microsoft Enhanced Mitigation Experience Toolkit (EMET) können Sie verhindern, dass sowohl bekannte wie auch unbekannte Sicherheitslücken in Software, welche in Ihrem Unternehmen eingesetzt werden, ausgenutzt und beispielsweise für die Installation von Schadsoftware (Malware) verwendet werden kann.
  • Blockieren Sie den Empfang von gefährlichen Email Anhängen auf Ihrem E-Mail-Gateway. Zu solche gefährlichen E-Mail-Anhängen zählen unter anderem:

 

.js (JavaScript)
.jar (Java)
.bat (Batch file)
.exe (Windows executable)
.cpl (Control Panel)
.scr (Screensaver)
.com (COM file)
.pif (Program Information File)
.vbs (Visual Basic Script)
.ps1 (Windows PowerShell)

  • abuse.ch publizierte Anfang März 2016 einen Ransomware Tracker, welcher mehrere Ransomware Familien erkennt und stellt so genannte „Blocklists“ zur Verfügung, welche von jedem Internet User verwendet werden können. 
  • Stellen Sie sicher, dass solche gefährliche E-Mail-Anhänge auch dann blockiert werden, wenn diese in Archiv-Dateien wie Beispielsweise ZIP, RAR oder aber auch in verschlüsselten Archive-Dateien (z.B. in einem Passwortgeschützen ZIP) an Empfänger in Ihrem Unternehmen versendet werden.
  • Zusätzlich sollten sämtliche E-Mail-Anhänge blockiert werden, welche Makros enthalten (z.B. Word, Excel oder PowerPoint Anhänge, welche Makros enthalten).

 

Konsultieren Sie das MELANI Merkblatt IT-Sicherheit für KMUs und das 10-Punkte Programm zur Erhöhung der IT-Sicherheit auf dem KMU Portal des Bundes: Sicherheitsvorkehrungen für die IT-Infrastruktur KMU

 

Beispiel

Im Jahr 2015 hat die Melde- und Analysestelle Informationssicherung MELANI  verschiedene Wellen mit erpresserischer Schadsoftware beobachtet und davor gewarnt. Darunter war auch die Verschlüsselungsmalware TeslaCrypt, welche gegenwärtig immer noch aktiv ist. Seit Dezember breitet sich die  Schadsoftware, welche Daten verschlüsselt und anschliessend ein Lösegeld fordert, rasch in der Schweiz aus. Die neue Variante verbreitet sich hauptsächlich über infizierte E-Mail Anhänge (Ein Anhang des
Typs „.zip“, der eine Datei des Typs „.js“ beinhaltet). Einmal installiert, verschlüsselt TeslaCrypt Dateien, welche sich auf dem Computer befinden (beispielsweise Fotos, Excel- oder Word-Dateien). Dem Opfer wird anschliessend eine Meldung präsentiert, in der die Kriminellen eine Geldforderung stellen. Im Gegenzug soll das Opfer den Schlüssel erhalten, mit dem die Dateien wiederhergestellt werden können.  Verschiedene Antiviren Produkte reagieren auf diese Schadsoftware. Dann ist es aber meistens zu spät, weil die auf dem Computer vorhandenen Dateien bereits verschlüsselt wurden. In diesem Fall ist deshalb nicht die Entfernung der Schadsoftware das Problem, sondern die Wiederherstellung der ursprünglichen Daten.

Letzte Änderung 21.12.2017

Zum Seitenanfang

https://www.melani.admin.ch/content/melani/de/home/themen/Ransomware.html