Ransomware
Geld oder Daten
Simplocker, Locky und Keranger haben eines gemeinsam: Sie infizieren als Ransomware weltweit Computer, mobile Geräte und Netzwerke. Sinn und Zweck der kriminellen Aktion ist das Abzocken von Geld – wer nicht zahlt, verliert somit im schlimmsten Fall seine sensiblen Daten.
Insbesondere für Unternehmen steht viel auf dem Spiel. Verlieren sie den Zugriff auf wichtige Unternehmensressourcen, kann der finanzielle Schaden und Imageverlust enorm hoch ausfallen. Eine aktuelle Umfrage unter knapp 3.000 IT- und Cybersicherheits-Experten weltweit zeigt, dass mindestens eins von fünf Unternehmen bereits dieser Gefahr ausgesetzt war.
Lieber vorbeugen als heilen
Es lohnt sich also auch aus finanziellen Gründen, in Präventivmaßnahmen zu investieren – um Datenverlust durch Schadsoftware vorzubeugen, sollten nachfolgende Basistipps beachtet werden:
- Aktuelle Programmversion: Wann immer möglich sollte die aktuellste Programmversion der eingesetzten Sicherheitssoftware installiert sein. Viele Schädlinge schaffen es vor allem aufgrund veralteter Lösungen, das System zu befallen. Viele Hersteller bieten kostenlose Updates auf die neueste Programmversion an, wenn eine gültige Lizenz vorhanden ist.
- Aktualität der Virensignaturdatenbank: Immer wieder werden neue Ransomware-Versionen verbreitet. Umso wichtiger ist es, dass die Virensignaturdatenbank von allen Computern und anderen Firmengeräten stets auf dem neuesten Stand ist. Dies verbessert den Schutz vor Ransomware und anderen Schädlingen.
Bloß nicht bezahlen
Nach einer Infektion ist guter Rat im wahrsten Sinne teuer. Das Bezahlen einer Forderung führt in den meisten Fällen jedoch eher zum Verlust des überwiesenen Geldes als zu einer gütlichen Einigung. Es gibt keine hundertprozentige Sicherheit, dass nach Zahlung des Lösegelds die betroffenen Daten oder Geräte tatsächlich entsperrt werden. Hinzu kommt, dass damit die kriminellen Aktivitäten finanziell unterstützt werden – ein Teufleskreis!
Selbst wenn die Angreifer ihren Opfern einen Entschlüsselungscode zukommen ließen, gibt es keine Garantie dafür, dass er funktioniert. Analysen von Eset haben dies mehrmals belegt. Etliche Male wurde der von der Ransomware generierte PIN-Code zur Entsperrung des Android-Geräts gar nicht erst an die Erpresser übermittelt. So hatten die Opfer niemals eine Chance, den Zugang zu Ihrem Gerät wiederzuerlangen. Hinzu kommt, dass durch Ihre Zahlungsbereitschaft ein weiterer Angriff nicht ausgeschlossen ist, um noch mehr Geld zu erbeuten. Denn wer einmal zahlt, bei dem sitzt die Geldbörse sicherlich bei einem zweiten Mal ähnlich locker.
Auch das Knacken der Verschlüsselung erweist sich als wenig gewinnbringend. Angreifer nutzen heutzutage genauso starke Chiffrierungen wie beispielsweise Banken zum Schutz des Zahlungsverkehrs ihrer Kunden einsetzen. Die dazu eingesetzten Technologien erschweren die Wiederherstellung von Geräten oder Dateien – im schlimmsten Fall ist sie sogar unmöglich.
Das Encoding der Daten erfolgt anhand asymmetrischer Code-Verschlüsselungsalgorithmen und ist mithilfe von Reverse Engineering oder Brute Force nicht rückgängig zu machen.
So reagieren Sie richtig
So komplex die Malware konstruiert sein mag, die Verbreitungsmethode ist auf jeden Fall ein alter Hut. Häufig werden die Schädlinge mittels Social Engineering über E-Mails mit Anhang in Umlauf gebracht. Meistens geschieht dies als simpler Massenversand. Das Öffnen des verseuchten Beiwerks aktiviert den Trojaner und die Verschlüsselung des betroffenen Computers beginnt.
Für Opfer einer Ransomware-Attacke ist eine schnelle Isolation des infizierten Geräts oberstes Gebot. Die Trennung vom Firmennetzwerk - falls möglich auch von der Stromversorgung - verhindert eine weitere Verbreitung. Dadurch kann die Kommunikation zwischen Malware und Command and Control-Server noch vor Beginn des Verschlüsselungsprozesses von Dateien und Laufwerken unterbunden werden. Auch wenn es sich dabei um keine sichere Methode handelt, besteht zumindest die Chance, dass einzelne wertvolle Dateien vor der kompletten Verschlüsselung bewahrt werden. Experten raten Betroffenen, das System über die Hardware abzuschalten. Womöglich wurde die Ransomware so programmiert, dass sie beim normalen Herunterfahren der Software noch mehr Schaden anrichtet.
Nach der anschließenden Information aller Mitarbeiter sollte man sich als Betroffener immer an die Polizei wenden und den Vorfall melden.
Lesen Sie mehr zum Thema
