News 19.05.2016, 10:39 Uhr

So schützen Sie sich vor Erpresser-Software

Melani gibt Tipps, wie man sich vor Erpresser-Software schützt und was zu tun ist, wenn sie dennoch auf den Rechner gelangt.
Heute ist Schweizer Ransomware Awareness Tag. Das hat die Melde- und Analysestelle Informationssicherung (Melani) gemeinsam mit Partnern bestimmt. Und informiert zu diesem Zweck über Probleme und Lösungen zum Thema Erpresser-Software.
Ransomware verbreitet sich in der Regel über E-Mail-Anhänge. Einmal infiziert, verschlüsselt Ransomware Dateien auf dem Computer des Opfers sowie auf allfällig verbundenen Netzlaufwerken. Die verschlüsselten Dateien werden dadurch für das Opfer unbrauchbar. Erst wenn eine Art Lösegeld, in der Regel in der Form von Bitcoins, den Angreifern bezahlt wird, werden die Daten freigegeben. Eine Garantie dafür gibt es allerdings nicht. Was für Private mühsam ist, ist für KMU, die immer häufiger Ziele solcher Attacken werden, noch schlimmer. Oftmals werden unternehmenskritische Daten wie beispielsweise Verträge sowie Kunden- und Buchhaltungsdaten verschlüsselt und so unbrauchbar. Diese Art der Attacken nehmen immer mehr zu, auch wenn Pascal Lamia, Leiter von Melani, auf Nachfrage Ransomware-Angriffe nicht quantifizieren konnte. Die Schweiz sei dank ihrer guten und modernen Vernetzung für Angreifer jedoch ein lohnendes Ziel.
Ein Beispiel: Im Jahr 2015 wurde Melani unter anderem auf die Verschlüsselungs-Malware TeslaCrypt aufmerksam, die noch bis Mitte Mai 2016 aktiv war. Seit Dezember breitete sich die Schad-Software, die Daten verschlüsselt und anschliessend ein Lösegeld fordert, rasch in der Schweiz aus. Die neue Variante verbreitete sich hauptsächlich über infizierte E-Mail-Anhänge (ein Anhang des Typs .zip, der eine Datei des Typs .js beinhaltet). Einmal installiert, verschlüsselte TeslaCrypt Dateien, die sich auf dem Computer befinden. Dem Opfer wurde anschliessend eine Meldung präsentiert, in der die Kriminellen eine Geldforderung stellten. Im Gegenzug sollte das Opfer den Schlüssel erhalten, mit dem die Dateien wiederhergestellt werden können. Verschiedene Antivirenprodukte reagierten zwar auf diese Schad-Software. Dann war es aber meistens zu spät, weil die auf dem Computer vorhandenen Dateien bereits verschlüsselt waren. In diesem Fall war deshalb nicht die Entfernung der Schad-Software das Problem, sondern die Wiederherstellung der ursprünglichen Daten.
Inzwischen (19. Mai 2016) weiss man: Die TeslaCrypt-Drahtzieher haben erst gestern quasi ihren Laden geschlossen und den Master-Schlüssel zum Dechiffrieren der in Geiselhaft genommenen Daten zur Verfügung gestellt. Trotz dieser überraschenden Wende bei TeslaCrypt kann dieser als sehr typisches Beispiel für eine Vielzahl von Erpressungstrojanern gelten.
Um sich dagegen zu schützen, hat Melani einige Tipps zusammengestellt. Für den erfahrenen ITler klingen diese trivial, sie immer wieder zu hören, schadet aber auch nicht.

Präventive Massnahmen

  • Regelmässiges Backup. Die Sicherungskopie sollte offline, beispielsweise auf einer externen Festplatte, gespeichert werden.
  • Regelmässige Updates. Sowohl Betriebssysteme als auch alle auf den Computern installierten Applikationen (z.B. Adobe Reader, Adobe Flash, Sun Java etc.) müssen konsequent auf den neusten Stand gebracht werden. 
  • Vorsichtiger Umgang mit E-Mails. Bei unbekannten Absendern oder unerwarteten Nachrichten keine Textanweisungen befolgen, keine Anhänge öffnen und nicht auf Links klicken.
  • Aktuelle Virenschutzprogramme verwenden.
  • Personal Firewall installieren und aktuell halten.

Massnahmen nach einem erfolgreichen Angriff

  • Den Computer sofort von allen Netzwerken trennen. Danach ist eine Neuinstallation des Systems und das Ändern aller Passwörter unumgänglich.
  • Backup aufspielen. Wenn kein Backup der Daten vorliegt, ist es empfehlenswert, die verschlüsselten Daten zu behalten und zu sichern, damit Sie sie allenfalls später noch entschlüsseln können, sollte hierzu eine Lösung gefunden werden (wie es bei TeslaCrypt der Fall war).
  • Die Koordinationsstelle zur Bekämpfung der Internetkriminalität (Kobik) über den Angriff informieren. Zusätzlich Anzeige bei der lokalen Polizeistelle erstatten.
  • Kein Lösegeld bezahlen! Eine Garantie für die Entschlüsselung gibt es nicht, stattdessen stärkt man damit die kriminellen Infrastrukturen.

Zusätzliche Hinweise für Unternehmen

  • Sie können den Schutz Ihrer IT-Infrastruktur vor Schad-Software (wie beispielsweise Ransomware) durch die Verwendung von Windows AppLocker zusätzlich stärken. Durch den Einsatz von Windows AppLocker können Sie definieren, welche Programme auf den Computern in Ihrem Unternehmen ausgeführt werden dürfen.
  • Durch die Verwendung des Microsoft Enhanced Mitigation Experience Toolkit (EMET) können Sie verhindern, dass sowohl bekannte als auch unbekannte Sicherheitslücken in Programmen, die in Ihrem Unternehmen eingesetzt werden, ausgenutzt und beispielsweise für die Installation von Schad-Software (Malware) verwendet werden können.
  • Blockieren Sie den Empfang gefährlicher E-Mail-Anhänge auf Ihrem E-Mail-Gateway. Zu solchen gefährlichen E-Mail-Anhängen zählen unter anderem: .js; .bat; .exe;.cpl; .scr; .com; .pif; .vbs; .ps1.
  • abuse.ch publizierte Anfang März 2016 einen Ransomware Tracker, der mehrere Ransomware-Familien erkennt und sogenannte «Blocklists» zur Verfügung stellt, die von jedem Internetuser verwendet werden können.
  • Stellen Sie sicher, dass solche gefährlichen E-Mail-Anhänge auch dann blockiert werden, wenn diese in Archivdateien wie beispielsweise .zip, .rar, aber auch in verschlüsselten Archivdateien (z.B. in einem passwortgeschützen .zip) an Empfänger in Ihrem Unternehmen versendet werden.
  • Zusätzlich sollten sämtliche E-Mail-Anhänge blockiert werden, die Makros enthalten.
Nebst Tipps gegen Ransomware haben Melani und andere Stellen weitere Dokumente zusammengestellt. Eines befasst sich mit dem Umgang mit DDoS-Attacken. Das Beachten eines Merkblatts zur IT-Sicherheit bei KMU soll generell die Sicherheit der Unternehmen erhöhen.



Kommentare
Avatar
Gaby Salvisberg
19.05.2016
Hallo soundnet Hierfür müsste der betreffende Hoster erstmal darauf aufmerksam werden. Ich muss davon ausgehen, dass die meisten Hoster erst Rücksprache mit dem Hostingkunden nehmen, bevor sie etwas tun – wenn überhaupt. Bei CH-Domains schreitet in hartnäckigen Fällen Switch ein, indem der Domaineintrag gesperrt wird: https://www.nic.ch/reg/cm/wcm-page/faqs/technical/malware.html?lid=de#a12 Beim von Dir erwähnten Beispiel handelt es sich allerdings um eine .de-Domain. Keine Ahnung, ob DeNic auch sperrt. Herzliche Grüsse Gaby