Locky, Tesla-Crypt und Co
Kriminellen Virenangriffen effektiv vorbeugen
Fortsetzung des Artikels von Teil 1
Effizienter Schutz vor Locky und Co. ist essentiell wichtig
Um sich vor Malware wie Locky und anderer Schadsoftware zu schützen, gibt es zahlreiche Maßnahmen, die regelmäßig durchgeführt werden sollten. Zunächst einmal sollte jeder Benutzer und jedes Unternehmen stets die aktuellsten Software-Updates installieren. Zudem ist es sinnvoll, ein regelmäßiges Backup vorzunehmen, entweder auf ein externes Speichermedium oder auf einen Cloud-Speicherdienst, der eine Versionierung anbietet, wodurch Vorgängervarianten einer Datei wiederhergestellt werden können. Die Haupt-Einfallstore für Malware - E-Mail und das Internet - müssen mit einem seriösen und effizienten Spamfilter- und Webfilter-Service geschützt werden. Zu guter Letzt jedoch trägt auch der Anwender selbst eine Verantwortung, indem er jede E-Mail kritisch prüfen sollte, ob etwa der Absender stimmt und was für Dateianhänge sich an der E-Mail befinden. Zur Not sollte eine E-Mail immer gelöscht werden.
Die Zahl der Angriffe mit unterschiedlichen Virensignaturen steigt - In den vergangenen drei Monaten lag der Durschnitt bei knapp 400 neuen Virenvarianten täglich, wobei die höchste Zahl bei 2732 neuen Viren lag. Anfang Dezember, als die ersten Makro-Virus-Angriffe im Umlauf kamen, wurden daher direkt neue Filter-Methoden entwickelt. Hierzu war ein ganzes Paket an Maßnahmen notwendig: So wurden sieben bis acht Virenscann-Methoden entwickelt, die speziell auf Office-Dokumente mit darin enthaltenen Makros spezialisiert sind. Die Scanner setzen verschiedene Reputationsmechanismen ein, um festzustellen, ob es sich um ein harmloses oder um ein schädliches Makro handelt. Dies geschieht vollautomatisch und in Sekundenschnelle. Ist ein Schadcode gefunden, passen sich die Filter automatisch an, sodass keine weiteren Makro-Viren durch die Filtersysteme schlüpfen können.
Das Unternehmen entwickelt seine Virenscanner ständig weiter. Mittlerweile stehen 18 verschiedene Virenscanner zur Verfügung, die den E-Mail-Verkehr überprüfen. Die Zahl wächst auch laufend an: So kommen pro Jahr mehrere neue hinzu. Dabei wurden, wie auch bei den Makro-Viren, spezialisierte Scanner für die unterschiedlichen Angriffsszenarien und Attacken entwickelt. Der eine sucht zum Beispiel nach kompromittierten Dateien, der andere wiederum analysiert Weblinks, über die anschließend Viren nachgeladen werden. Außerdem ist es wichtig zu wissen, woher die Angriffe kommen, ob Weblinks auf bekannte, auf einer Blacklist stehende Website führen usw. Anbieter wie Hornetsecurity arbeiten darüber hinaus auch mit bekannten Antiviren-Herstellern zusammen, um die Erkennung bereits bekannter Viren sicherzustellen.
Bei einem großen Virenangriff erfolgt die Anpassung einzelner Filterregeln automatisiert und dauerhaft im laufenden Betrieb. Zudem überwachen Automatismen die Arbeit der Filter zum Abfangen der Viren auf Basis der Reaktionszeit zwischen Eintreffen und Erstellen einer Filterregel. Wird diese zum Beispiel bei einer Virenwelle überschritten, greifen die Security-Experten manuell ein. Diese führen sofort eine Tiefenanalyse durch, optimieren die automatische Erkennung oder setzen neue Filterwerkzeuge ein, bis die Reaktionszeit wieder auf den erwünschten Wert gesunken ist.
- Kriminellen Virenangriffen effektiv vorbeugen
- Effizienter Schutz vor Locky und Co. ist essentiell wichtig
- Identifikation neuer Viren
Lesen Sie mehr zum Thema
