Ramsomware

n rn
So nennt man die zurzeit häufig auftretenden Verschlüsselungs-Trojaner. Einmal infiziert verschlüsselt sie alle Daten, die sie finden kann, mit einem hochsicheren Schlüssel. Auf den infizierten Rechnern wird dann eine Meldung angezeigt, dass man gegen Zahlung von Bitcoins (meist ca. 500 ?) eine Software erhalte, mit denen man die Daten entschlüsseln kann. Die angebotene Zahlungsmethode stellt sicher, dass das Geld nicht nachverfolgbar ist. Ob es eine Gegenleistung in Form einer funktionierenden Software (die keine Schadstoffe enthält) gibt, ist fraglich. Die Experten vom BSI raten, auf diese Lösegeldforderungen nicht einzugehen!rnrnWie finden viele Infektionen statt?rn* Ein Mitarbeiter erhält eine E-Mail, die einen Internet Link enthält. Klickt der Mitarbeiter auf den Link, wird die Verschlüsselungssoftware installiert und verschlüsselt alle Dokumente im Zugriff. Zusätzlich können die Schadprogramme in einem E-Mail-Anhang versteckt sein oder auf einer Webseite zum Download angeboten werden.rnrnWie können Sie sich speziell gegen Ransomware schützen?rn* Mitarbeiter sensibilisieren (Nicht auf Anhänge und Links in Mails klicken, keine Internet-Downloads von Programmen)rn* Blockieren von Downloads unerwünschter Dateiendungen auf Ihrer w.safe Firewall einrichten (Dateien werden anhand der Endung im Namen blockiert, Dateiinhalte können nicht analysiert werden) rn* Exchange Richtlinie einrichten, die unerwünschte Dateiendungen blockiert (schützt vor E-Mails mit Anhängen)rn* Anzeige von E-Mails in Outlook als „NUR-TEXT“. (HTML-E-Mails können bereits schädliche Javascripts enthalten)rn* Anschaffung einer Next Generation Firewall mit Inhalts- und Anhang-Blockierung: Hierbei kann man konfigurieren, dass Anhänge und das Ausführen von Links in E-Mails und Internet-Downloads blockiert werden.rn* Windows Enterprise mieten. Mit Software-Assurance und Windows Enterprise kann die Applocker Technologie eingerichtet werden. Hier richtet der Admin eine Positivliste ein. Es werden nur Programme gestartet, die auf dieser Liste stehen (hoher Einrichtungsaufwand)rnrnWas müssen Sie ohnehin für den Grundschutz erfüllen?rn* Virenscanner mit laufendem Vertrag und aktuellen Signaturen einsetzen (erkennt Ransomware erst Tage später, da diese wie das medizinische Virus ständig mutiert)rn* Windows Sicherheits-Updates auf aktuellem Stand halten (gilt auch für Adobe Produkte und Java, da hier eine besondere Gefahr besteht)rn* Benutzern Adminrechte entziehen (Ransomware wird allerdings im User-Kontext ausgeführt)rn* Arbeitsanweisung (Mitarbeiter sollen weder auf E-Mail-Anhänge klicken, noch auf Links, die mit E-Mails gesendet werden und nichts aus dem Internet herunterladen)rn* Datensicherung muss BSI Grundschutz erfüllen, d.h. Vollsicherungen mindestens der letzten 2 Wochen (alle Werktage) auf Band. Sicherungen auf Wechselfestplatten können ebenfalls der Verschlüsselung zum Opfer fallen, ein Band nicht. (Post ID:246)n

Verwandte Beiträge
Crypto-Mining
Lücke in fast allen Browsern. Sowohl im Internet-Explorer, Edge, Firefox und Google Chrome können durch Aufruf einer präparierten Seite Scripts
Crypto Trojaner können jetzt auch Gruppenrichtlinien erstellen
Daher ist es für die Administratoren dringend notwendig, die Berechtigungen auf Gruppenrichtlinien unternehmensweit zu überprüfen. Ab Werk sind dort nur
Kennwort-Sicherheit mangelhaft?
Das Bundesamt für Sicherheit in der Informationstechnik gibt in den Grundschutz-Katalogen Anweisungen, wie Unternehmen ein Mindestmaß an Sicherheit erreichen können.
Über den Autor:

Patrick Bärenfänger ist TÜV-zertifizierter IT-Security Manager und -Auditor und seit über 30 Jahren in der IT-Branche. Seine Schwerpunkte sind die Ausbildung/Zertifizierung von Systemkoordinatoren, Lizenz-Audits und IT-Systemprüfungen nach BSI-Grundschutz-Katalogen und IDW PS 330 und die Intrastruktur-Analyse und -Optimierung.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.