+49 241 149 46 0 information@plesnik.de

Ransomware Locky Virus – Die effektive Anleitung zum Schutz

von | Apr 1, 2016 | Datensicherheits Beratung | 2 Kommentare

Ransomware Locky Virus – Die effektive Anleitung zum Schutz | Titelbild

UPDATE

 

Immer mehr Erpressungstrojaner werden geknackt! Erst kürzlich teilen die Sicherheitsexperten von Bleepingcomputer mit, dass ein Schlüsselgenerator für den Trojaner Petya erstellt wurde. Auch für andere Kryptotrojaner gibt es Entschlüsselungstools. Das Ransomware-Removal-Kit enthält Anleitungen und das benötigte Werkzeug zum Entschlüsseln der Ransomwares BitCryptor, CoinVault, CrypoDefense, CryptoLocker, FBIRansomWare, Locker, OperationGlobal, PCLock, Teslacrypt, TorrentLocker.

Außerdem stellt das Malwarehunterteam eine Webseite zur Verfügung, mit der Sie durch das Hochladen einer infizierten Datei herausfinden können, welche Ransomware Ihre Dateien verschlüsselt hat. Zur Zeit erkennt das Tool 54 verschiedene Verschlüsselungstrojaner, darunter auch Locky, Teslacrypt und Coinvault. Zur Webseite…

Das Malwarehunterteam löscht Ihre hochgeladene Datei sofort nach der Überprüfung, sie müssen also keine Angst um die Sicherheit Ihrer Daten haben.

Locky und Co. legen weltweit Computer lahm

Mit Sicherheit haben Sie schon von Locky und anderer Ransomware gehört, die momentan viele Firmen und Privatanwender befallen. Im Radio wird berichtet, dass ein weiteres Krankenhaus betroffen ist. Im Internet wird gefragt, wie man seine Daten retten kann. Lassen Sie es nicht so weit kommen! Warten Sie nicht auf Rettung, sondern sorgen Sie für Schutz! Wir möchten Ihnen die Angst nehmen und Ihnen zeigen, was Locky und Co. sind und wie Sie sich effektiv dagegen schützen können.

Was ist Locky? Was versteht man unter Ransomware?

Ransomware, auch Verschlüsselungs- oder Erpressungstrojaner genannt, sind Schadprogramme, die sich auf verschiedenen Wegen Zugriff auf den Computer verschaffen. Im System machen Sie durch das Verschlüsseln von Dateien und Ordnern diese für den Nutzer unbrauchbar. Erst gegen Zahlung eines Lösegeldes erhält der Betroffene den Schlüssel, um seine Dateien zu öffnen. Der Name setzt sich zusammen aus „ransom“, dem englischen Wort für Lösegeld, und „ware“, entsprechend dem für Computerprogrammen üblichen Benennungsschema (Software, Malware)

[Quelle: Wikipedia]

Ransomware sind also Programme, die unerlaubt und meist vom Nutzer unbemerkt Dateien auf dem betroffenen System verschlüsseln. Dazu wird jedem Geschädigten ein einzigartiger Schlüssel zugewiesen. Um diesen Schlüssel und damit die Kontrolle über seine Daten zurück zu bekommen, muss der Anwender meist hohe Summen in Form von Bitcoins an die Erpresser zahlen. Der bekannteste dieser Schädlinge ist Locky, der mit mehreren tausend Neuinfektionen im letzten Monat weite Kreise schlägt. Oft merkt der Betroffene erst dass er Opfer von Ransomware ist, wenn die Schadsoftware ihn durch eine Text-Datei oder einen Desktophintergrund darüber informiert.

Eine unlesbares Word-Dokument

So wird das Opfer darauf hingewiesen, dass Locky seine Daten verschlüsselt hat.

Wie verbreitet sich Ransomware?

Aktuell befindet sich eine undefinierbare Anzahl an Erpressungstrojanern im Umlauf und täglich tauchen neue auf. Um zu zeigen wie sich Locky und Co. verbreiten, haben wir Ihnen eine kleine Tabelle mit einigen Beispiel-Ransomwares angefertigt.

Trojaner Verbreitung
Locky Makros in Office-Dokumenten [.doc, .ptt, .xls]
Teslacrypt Webseiten mit Joomla
Surprise Teamviewer [Fernsteuerungs-Software]
Petya Dropbox [Dateisynchronisations-Software]
Cerber Infizierte E-Mails
Crypt0l0cker Infizierte E-Mails

Um Sie aufzuklären wie genau Locky und Co. in Ihrem System arbeiten, möchten wir Ihnen hier den Ablauf einer Infektion erklären.

Schritt 1: Infektion

Sie erhalten eine E-Mail. Als Anhang der E-Mail ist ein Office-Dokument enthalten. Sie speichern das Dokument, öffnen es und erlauben das Ausführen von Makros. Was Sie nicht wissen: Diese Makros enthalten Schadcode, der Locky aktiviert. Makros werden z. B. in der Tabellenkalkulation und in Datenbanken eingesetzt. Die Arbeit mit diesen Programmen wird erleichtert und beschleunigt, indem eine Befehlsfolge, die häufig gebraucht wird, mit Hilfe eines Makros aufgerufen werden kann. [Quelle: Wikipedia]

Schritt 2: Vorbereiten der Verschlüsselung

Jetzt beginnt Locky die benötigten Dateien aus dem Internet zu laden. Dies geschieht im Hintergrund und von verschiedenen Quellen. Jeder Webserver kann unbemerkt die Locky-Dateien enthalten.

Schritt 3: Nutzerdateien verschlüsseln

Erst jetzt beginnt der eigentliche Angriff. Locky verwendet die heruntergeladenen Dateien und einen auf einem Server liegenden Schlüssel, um alle Dateien mit bestimmten Endungen (zB. .doc, .xls, .ppt, .mp3, .jpg) zu verschlüsseln und diesen die Dateiendung .locky zu geben. Ab jetzt sind die Dateien für das Opfer nicht mehr zugänglich.

Schritt 4: Den Nutzer informieren

Jetzt erzeugt Locky eine Textdatei auf dem Bildschirm und ändert den Desktophintergrund. Beides zeigt dem Nutzer, dass er Opfer einer Verschlüsselungs-Attacke geworden ist und gibt Hinweise, wie man sich den Zugang zu seinen Daten erkaufen kann.

Schritt 5: Freischaltung nach Zahlung

Hat der Nutzer das Lösegeld bezahlt, erhält der das notwendige Werkzeug, um seine Daten zu entschlüsseln.   Das Bundesamt für Sicherheit in der Informationstechnik rät davon ab, Lösgeldforderungen nachzugehen. Betroffene sollen Anzeige erstatten und auf ein Tool zum Wiederherstellen der Daten warten.

Was kann ich tun, wenn mein System betroffen ist?

Startbildschirm bei einer Infektion mit dem Trojaner Petya

Wenn sie frühzeitig merken, dass Ihr System betroffen ist, gibt es einige Schritte mit denen Sie die Schäden minimieren können. Sie sollten schnell, aber mit Bedacht reagieren. Nur so können Sie größere Schäden verhindern.

  1. Bei sofortiger Feststellung der Infektion
    1. Trennen Sie das Gerät sofort vom Netzwerk. Ohne Netzwerkverbindung können viele Schädlinge die benötigten Daten nicht herunterladen. Außerdem verhindern Sie, dass sich die Ransomware auf andere Geräte im Netzwerk ausbreitet.
  2. Bei nachträglicher Feststellung der Infektion (vor dem Neustart)
    1. Starten Sie den PC nicht neu. Fahren Sie das Gerät sofort herunter.
    2. Bauen Sie die lokalen Festplatten aus.
    3. Schließen Sie die Festplatten extern an ein Gerät ohne Netzwerkzugriff an
    4. Prüfen Sie, ob noch Dateien zu retten sind
  3. Bei nachträglicher Feststellung der Infektion (nach dem Neustart)
    1. Kontaktieren Sie Ihren Systemadministrator oder einen Fachmann
    2. Gibt es Sicherungen des PCs? Sind diese isoliert, also getrennt vom PC?
    3. Welche Netzlaufwerke sind verbunden? Diese müssen umgehend auf Befall geprüft werden!
    4. Erstatten Sie sofort Anzeige! Zahlen Sie kein Lösegeld!
    5. Warten Sie auf sichere Programme zum entschlüsseln Ihrer Dateien.
In allen Fällen ist es wichtig, dass sie umgehend Ihren Netzwerkadministrator informieren!

Wie schütze ich mich vor Locky und anderer Ransomware?

Vorsicht ist besser als Nachsicht. Aus diesem Grund sollten Sie auf die Bedrohung reagieren, bevor Sie betroffen sind. Nur so garantieren Sie, dass das Risiko für Ihre Server und Arbeitsplätze so gering wie möglich bleibt und Sie im Falle eines Angriffs schnell reagieren und Ihr System stabilisieren können.

Ransomware-Locky-Virus-Schutz-Diagramm

Den optimalen Schutz ihres Systems vor Viren und Trojanern können Sie erreichen, wenn Sie sich an unserer Pyramide orientieren. Anhand der Pyramide stellen wir Ihnen Lösungen für die Prävention, die Schadensbegrenzung und das Monitoring Ihrer IT-Infrastruktur vor. Wenn Sie diese Bereiche bestmöglich abdecken, können Sie den Schutz vor Befall maximieren und im Falle einer Infektion die Ausfallzeiten minimieren.

Präventionsmanagement

Schulen Sie Ihre Mitarbeiter!

Unwissenheit sowie unachtsamer und unsensibler Umgang mit dem Internet und Daten spielen eine große Rolle bei der Verbreitung von Schadsoftware im Internet. Hier muss ein gesundes Misstrauen geschaffen werden. Der Mitarbeiter muss wissen, welche Gefahren im Internet lauern und wie er mit diesen umzugehen hat.

  • Sensibilisieren Sie die Mitarbeiter zu E-Mail-Anhängen
    • Besonders Dateien mit den Endungen .doc, .xls, .zip, .exe
    • Ist die Quelle der Datei vertrauenswürdig?
    • Haben Sie die Datei auf Viren geprüft?
  • Informieren Sie die Mitarbeiter zu den Risiken, die sich hinter Links verstecken!
    • Das Ziel eines Links wird in Thunderbird/Firefox angezeigt, wenn Sie mit dem Mauszeiger darüber fahren
      • Der Link wird in der unteren linken Ecke des Fensters angezeigt
      • Vorsicht bei Smartphones, dort können Sie Links nicht vorher einsehen!
    • Kenne ich die Webseite?
    • Ist die Quelle des Links vertrauenswürdig?
  • Fordern Sie die Mitarbeiter auf, Fehlermeldungen und Warnungen ausführlich zu lesen!
    • Meldungen nicht wegklicken, sondern aufmerksam lesen
    • Schulen Sie die Mitarbeiter über die Bedeutung solcher Meldungen
    • Bei der kleinsten Unklarheit den Kontakt zum Administrator suchen
  • Machen Sie Aushänge im Unternehmen

Schulungen durch einen IT-Sicherheitsbeauftragten

Mit Schulungen durch einen zertifizierten IT-Sicherheitsbeauftragten wird den Mitarbeitern Ihres Unternehmens aktuelles Wissen zu kritischen Themen der IT-Sicherheit vermittelt. Weiter schafft eine solche Schulung Transparenz im Umgang mit der alltäglichen Technologie. Das Verständnis für die Technologie ist essentiell, um Cyber-Attacken jeglicher Art effektiv vorzubeugen. Neben diesen Schulungen sind ISO-27001 Audits für Informationssicherheit zum Teil verpflichtend. Herwig Holzmeister ist TÜV zertifizierter IT-Security Officer (ISO-27001) und begleitet professionell IT-Sicherheits-Audits.

Wir beraten Sie gerne unter: 0241/149460

Schreiben Sie uns...

Antivirus

Durch ein aktuelles und zentral gesteuertes Antiviren-Programm in Ihrem Unternehmen garantieren Sie eine schnelle Erkennung und frühzeitiges Ausschalten von Bedrohungen. Durch ein firmenweit ausgerolltes Antivirentool, zum Beispiel ESET Endpoint Antivirus sorgen Sie nicht nur für den größtmöglichen Schutz, sondern können durch die Weboberfläche des Verwaltungsservers erkennen, welches Gerät mit Schadsoftware in Kontakt gekommen ist, um Schwachstellen in Ihrer IT nachhaltig auszuschalten.

ESET-Logo

Data Security

Das richtige Backup – sparsam, sicher, notwendig

Sollte es zu einem Virenbefall kommen ist es wichtig, den Schaden möglichst gering zu halten. Durch ein fachgerecht eingerichtetes, isoliertes und automatisiertes Backup minimieren Sie den wirtschaftlichen Schaden, den Verlust kritischer Daten und bringen die betroffenen Systeme so schnell wie möglich wieder in den produktiven Betrieb ein.

Gibt es in Ihrem Unternehmen eine Backup-Lösung?

R

Ja!

Prüfen Sie, ob dieses Backup aktuell und ausreichend ist. Werden regelmäßige Backups der wichtigen Systeme erstellt? Ist das Backup von den Produktivsystemen isoliert? Wie schnell ist ein System aus dem Backup wiederhergestellt?

Q

Nein!

Handeln Sie jetzt! Als Veeam-Partner und mit unserem Cloud-Backup erarbeiten wir die perfekte Backup-Lösung für Sie! Minimieren Sie ihre Downtime bei Virenbefall und Systemversagen! Maximieren Sie den Schutz ihrer produktiven Systeme! Lassen Sie sich von uns beraten!

VEEAM – Das sichere Backup für Ihre IT

Veeam Backup Server

Wenn es zum Befall Ihrer Server kommt, liegt die Priorität ganz klar bei der schnellen Wiederherstellung der Produktivität Ihrer Infrastruktur. Um dies zu gewährleisten, benötigen Sie ein leistungsfähiges Backup, das Ihre Server in kürzester Zeit zurückholt. Veeam Backup tut genau dies. Es ist in wenigen Minuten eingerichtet, es ist kostengünstig und genau auf die Bedürfnisse mittelständischer Unternehmen angepasst. Ob VMWare oder Microsoft Hyper-V, mit Veeam Backup sind Ihre Server mit minimalem Aufwand gesichert – und Ihr Unternehmen im Ernstfall blitzschnell wieder Einsatzbereit.

Und wenn Sie denken, ein Backup-Server ist groß, laut und passt nicht ins Büro, schauen Sie sich diesen Ransomware-Killer an.

Continuous Monitoring – Gefahren erkennen, verfolgen, ausschalten

Der Sockel unserer Pyramide ist das Continuous Monitoring, also die durchgängige Überwachung von Systemen. Mit den richtigen Tools können Sie

  • Software verteilen
  • Ihre Systeme auf dem neuesten Stand halten
  • Unerwünschte Software entfernen
  • Sicherheitsupdates schnellstmöglich ausrollen

Diese Funktionen sind, abgesehen von Ihrem großen positiven Einfluss auf die Sicherheit in Ihrem Unternehmen, auch für die alltägliche Verwaltung sehr nützlich. Durch eine zentrale Verwaltung der Software verhindern sie Kompatibilitätsprobleme, die oft durch unterschiedliche Softwareversionen entstehen. Außerdem können Sie das System auf ungewollte Software prüfen und diese beim nächsten Systemstart automatisch entfernen lassen. Somit schließen Sie unnötige Risiken durch diese Software aus. Das Ausrollen von Sicherheitsupdates sorgt für das schnelle Schließen von Sicherheitslücken und minimiert so die Angriffsfläche für Schadsoftware. Die Dell Kace ist ein Beispiel für ein solches Tool, mit dem wir im Ingenieurbüro Dr. Plesnik gute Erfahrungen gemacht haben. Über eine zentrale Oberfläche im Web können wir Inventarlisten von Geräten einsehen, Software und Updates auf diese verteilen und unerwünschte Software entfernen. Gerne beraten wir Sie individuell zum Einsatz der Kace in Ihrem Unternehmen.