Bist du oder dein Unternehmen Opfer eines Ransomware-Angriff?

Nicht bezahlen!
Es gibt nämlich für die meisten Angriffe kostenlose Tools zur Selbsthilfe. Und es gibt keine Garantie, dass man nach der Zahlung auch einen Entschlüsselungscode erhält.


Doch beginnen wir von vorne:

Was ist Ransomware?

Der Begriff Ransomware steht für eine Art von Schadprogrammen, die den Zugriff auf die eigenen Daten und Systeme einschränken oder komplett unterbinden. Es kann ein verheerender Angriff sein, insbesondere für Unternehmen, da es zum Totalverlust wichtiger Daten führen kann.
Das Opfer wird dann mit einer Lösegeldforderung (englisch: Ransom) konfrontiert. Für die Freigabe, bzw. den Entschlüsselungscode wird dann ein Lösegeld, meist in Form von Bitcoins, verlangt.


Was sind die häufigsten Arten von Ransomware?

Ransomware (auch Erpressungstrojaner, Erpressungssoftware, Krypto Trojaner oder Verschlüsselungstrojaner) ist eine weitere Art von Malware. Unter die Definition von Malware fallen alle Arten von bösartiger Schadsoftware, wie Adware, Spyware, Viren, Botnets, Trojaner, Würmer, Rootkits und eben Ransomware.

Dabei gibt es fünf unterschiedliche Arten
von Ransomware-Angriffen:

  1. Die Verschlüsselung:
    verschlüsselt Dateien und ganze Ordner auf dem Rechner. Kein Zugriff mehr auf befallene Dateien u. Ordner.
  2. Der Sperrbildschirm (sog. WinLocker):
    sperrt den Bildschirm. Es wird ein Vollbild-Bild angezeigt, welches alle anderen Fenster blockiert.
  3. Master Boot Record (MBR):
    ändert den MBR des Computers, so dass der normale Bootvorgang unterbrochen wird. Der Rechner startet nicht mehr.
  4. Verschlüsselte Webserver:
    zielt auf Web-Server ab und verschlüsselt darauf eine Reihe von Dateien.
  5. Mobile Ransomware (Android):
    meist durch gefälschte Apps. Das Gerät lässt sich nicht mehr bedienen.

Ransomware ist auf dem Vormarsch, wobei derzeit über 50 Arten dieser Malware im Umlauf ist und sich schnell weiterentwickelt. Jede neue Variante fügt eine bessere Verschlüsselung und neue Funktionen hinzu. Das kann man nicht ignorieren!

Screenshot: Ransomware Angriffe
Screenshot: Ransomware Angriffe

Wie funktioniert ein Ransom­ware-Angriff?

Ransomware-Angriffe beginnen normalerweise mit einer Phishing-E-Mail, die einen Anhang oder Link enthält, der beim Öffnen die Malware herunterlädt und auf dem Computer des Opfers installiert. Nach der Installation durchsucht die Ransomware die Festplatte des Opfers nach bestimmten Dateitypen und verschlüsselt sie mit starken Verschlüsselungsalgorithmen.

Sind nur einzelne Dateien betroffen, spricht man von Krypto-Ransomware. Du kannst dann weiterhin auf andere Teile deines Geräts zugreifen. Wenn jedoch der gesamte Bildschirm gesperrt wird, bist du dem Locker-Ransomware zum Opfer gefallen.

Leider werden die schädlichen Anhänge meist nicht als solche erkannt. Solche Code-Schnipsel können in unzähligen Formaten wie ZIP-Archiven, PDFs, Word-Dokumenten, Excel-Tabellen und mehr vorliegen. Oft ist es nur bösartiger Code in einer sonst unauffälligen Datei.

Ransomware kann sich sehr schnell verbreiten, wenn du einen solchen befallenen Anhang öffnest. Bei sogenannten Smishing-Angriffen geschieht dies sogar per SMS übers Handy oder Smartphone.

Darüber hinaus kann Ransomware über kompromittierte oder bösartige Websites und Werbung sowie unsichere W-LAN Netzwerke heruntergeladen werden. Auch unerwünschte Add-ons zum Download können Ransomware enthalten. Dies geschieht oft völlig unbemerkt.

Nach dem erfolgten Angriff erhält man dann eine Lösegeldforderung. Man wird gewarnt, dass die Daten dauerhaft gelöscht werden, wenn das Geld nicht innerhalb einer bestimmten Frist bezahlt wird.

Wir werden immer mehr Opfer von Ransomware-Angriffen. Dies wird vor allem durch die zunehmende Vernetzung mehrerer Geräte (PC, Tablet, Smartphone) auch noch erleichtert. Und jeder kann ein Opfer von Ransomware werden. Egal ob Unternehmen oder Privatperson, ob Windows, Linux oder MAC-Rechner.


Was tun, wenn man von Ransomware angegriffen wurde?

Isolieren von infizierten Systemen.
Wenn man mit Ransomware infiziert wurde, ist es wichtig, das betroffene System von dem Netzwerk zu isolieren, um die Ausbreitung der Infektion zu verhindern. Man sollte auch alle externen Speichergeräte trennen, die möglicherweise mit dem System verbunden sind.

Die Daten aus Backups wieder herstellen.
Der beste Weg, sich von einem Ransomware-Angriff zu erholen, besteht darin, seine Daten aus einem Backup wiederherzustellen. Dadurch wird sichergestellt, dass man über eine saubere Kopie seiner Daten verfügt und sein Geschäft wie gewohnt fortsetzen kann, ohne sich Gedanken über die Zahlung eines Lösegelds oder den Verlust wichtiger Dateien machen zu müssen.

Screenshot Ransomware Attacke

Lösegeld zahlen oder nicht?

Die Zahlung des Lösegelds wird im Allgemeinen nicht empfohlen, zumal es keine Garantie dafür gibt, dass das Problem gelöst wird. Es gibt auch mehrere Möglichkeiten, wie eine Zahlung fehlschlagen kann. Beispielsweise kann Malware Fehler enthalten, die verhindern, dass verschlüsselte Daten wiederhergestellt werden, selbst wenn der richtige Schlüssel vorhanden ist.

Obwohl die Kriminalpolizei grundsätzlich davon abrät zu zahlen, wird geschätzt, dass das gezahlte Lösegeld in die Millionen geht.

Wer Geld an Cyberkriminelle überweist, bestätigt denen nur, dass die Ransomware funktioniert. Kein Wunder, dass Ransomware auf dem Vormarsch ist.

Es gibt keine Garantie,
dass man einen Entschlüsselungscode nach Zahlung erhält.

15 Tipps, um Ransom­ware vorzubeugen

  1. Die Systeme und Software immer auf dem neuesten Stand halten.
  2. Auf allen Geräten unbedingt ein leistungs­fähiges Programm für die Internet­sicherheit verwenden. Vor allem bei Windows-Systemen (Anti-Virenschutz, Malware-Schutz). Die meisten Antivirus-Lösungen enthalten bereits Komponenten, die helfen, Ransomware-Bedrohungen in den frühen Stadien der Infektion zu erkennen, ohne das Risiko, sensible Daten zu verlieren.
  3. Lokale Firewalls gegen unbefugten Zugriff einschalten.
  4. Regel­mäßig Sicherungs­kopien aller Daten anlegen. Diese unbedingt offline auf externen Datenträgern speichern, damit diese nicht infiziert werden können. Im Falle eines Angriffs kann man so zumindest vorherige Versionen der Dateien wieder­herstellen.
  5. Verwendung der Zwei-Faktor-Authentifizierung / Multi-Faktor-Authentifizierung bei Zugängen zu Systemen oder Software.
  6. Keine Konten mit Administratorenrechten für alltägliche Aufgaben verwenden.
  7. Vor allem bei Links und Anhängen in E‑Mails oder SMS besonders vorsichtig sein. Es ist besser, Links manuell in den Browser einzu­geben, anstatt in der Nach­richt darauf zu klicken. Besondere Vorsicht auch bei Anhängen, die einen auffordern, etwas zu aktivieren oder zuzu­lassen. Keine Anhänge von unbekannten Absendern öffnen.
  8. Die Option "Dateiendung anzeigen" in den Einstellungen aktivieren um potenziell schädliche Dateien zu erkennen. Nu dann siehst du auch, welche Dateiendung eine Datei wirklich hat (Bsp.: bericht.avi.exe oder bericht.doc.scr). Dateien mit den Endungen '.exe', '.vbs' und '.scr" nicht anklicken!
  9. Das Erstellen starker Passwörter ist eines der wichtigsten Dinge, die man tun kann, um seine Konten vor Hackerangriffen zu schützen. Ein sicheres Passwort sollte mindestens 8 Zeichen lang sein und eine Mischung aus Groß- und Kleinbuchstaben, Zahlen und Symbolen enthalten.
  10. Kein Zugriff auf Firmendaten über öffentliche WLAN-Netzwerke. Wenn dann nur über ein Virtuelles Privates Netzwerk (VPN).
  11. Apps und Software nur von vertrauenswürdigen Quellen installieren. Und auch nur offizielle Software-Versionen downloaden.
  12. Niemals unbekannte USB-Sticks mit dem eigenen System verbinden.
  13. Windows PowerShell ausschalten, wenn das Programm nicht verwendet wird.
  14. Sensible oder personenbezogene Daten für längerfristige Aufbewahrung auf separaten Geräten speichern.
  15. Zahlen Sie nicht, wenn Sie Opfer eines Angriffs sind! Melden Sie ein Verbrechen und sehen Sie sich NoMoreRansom (siehe nächster Absatz) für Entschlüsselungstools an.

Es gibt keine Universallösung gegen Ransomware.

Erste Hilfe bei Infizierung mit Ransomware

(oder anderer Malware)

  • Alle Geräte unverzüglich vom Internet oder von anderen Netzwerkverbindungen (auch WLAN) trennen.
  • Mach ein Foto oder einen Screenshot von der Lösegeldforderung. Meist erkennt man schon am gesperrten Bildschirm um welche Ransomware es sich hierbei handelt.
  • Nutze die eigene Anti-Malware-Software (falls vorhanden), um die Ransomware von deinem Gerät zu entfernen (geht meist nur im Abgesicherten Modus).
  • Wenn die Ransomware vom Rechner entfernt ist, sind die Dateien aber immer noch verschlüsselt. Gut wenn du ein Backup hast, dann kannst du die Daten wieder herstellen.
  • Ist das beides nicht möglich, dann helfen dir die Tools von "No More Ransom" weiter. Lies dazu den nächsten Absatz.

Wichtig: wenn dir die technischen und fachlichen Voraussetzungen fehlen, dann hole dir unbedingt fachmännische Hilfe!


Hilfe und Tools für Ransomware-Opfer

No More Ransom bietet 136 kostenlose Tools, um deine Dateien zu retten!

Home | The No More Ransom Project
Ransomware is malware that locks your computer and mobile devices or encrypts your electronic files. When this happens, you can’t get to the data unless you pay a ransom. However this is not guaranteed and you should never pay!
Website: NoMoreRansom.org

Die Initiative „No More Ransom“, die von Europol, der National High Tech Crime Unit der niederländischen Polizei und verschiedenen IT-Sicherheitsunternehmen ins Leben gerufen wurde, feiert 2022 sein sechsjähriges Bestehen.

Das No More Ransom Portal bot beim Start vor sechs Jahren zunächst nur vier Tools zum Entsperren verschiedener Arten von Ransomware an und war nur auf Englisch verfügbar.

Aktuell sind es schon 136 kostenlose Tools für 165 Ransomware-Varianten.

Über 188 Partner aus dem öffentlichen und privaten Sektor sind dem System schon beigetreten und stellen regelmäßig neue Entschlüsselungswerkzeuge bereit. Das Portal ist mittlerweile in 37 Sprachen verfügbar, um Opfern von Ransomware auf der ganzen Welt besser zu helfen.

Mit den Tools und Werkzeugen die die Initiative kostenlos bereitstellt, ist es in vielen Fällen möglich, seine Daten wiederherzustellen, ohne Lösegelder an die Cyberkriminellen zu bezahlen.

Es ist viel einfacher eine Ransomware-Infektion zu vermeiden, als sie zu bekämpfen.

Was muss ich tun, um die Ransomware loszuwerden?

  1. Gehe auf die Website von No More Ransom: www.nomoreransom.org
  2. Dort wählst du das Werkzeug "Crypto Sheriff" und folgst den Anweisungen. Mit dem Tool wird die Art der Ransomware bestimmt, die dein Gerät infiziert hat.
  3. Wenn eine Ransomware identifiziert wurde und eine Entschlüsselungslösung verfügbar ist, gehst du auf die Seite mit den Entschlüsselungs-Werkzeugen.
  4. Wähle in der Liste das entsprechende Werkzeug.
    HINWEIS: Bevor du mit dem Herunterladen und der Problemlösung beginnst, lies bitte vorher die How-To Anleitung. Die gibt es zu jeder einzelnen Lösung.
  5. Folge unbedingt genau den Anweisungen zum jeweiligen Werkzeug!
YouTube-Video: Crypto Sheriff – How it Works
YouTube-Video: Crypto Sheriff – How it Works

FAZIT

Mit diesen Werkzeugen und einer effektiven Prävention ist man schon sehr gut aufgestellt. Leider zeigt sich in der Praxis, dass immer noch viele Unternehmen lieber das Lösegeld zahlen um wieder schnell an ihre Daten zu kommen und um den Stillstand so kurz wie möglich zu halten.


Quellen:
Europol | europol.europa.eu/media-press/newsroom/news/hit-ransomware-no-more-ransom-now-offers-136-free-tools-to-rescue-your-files
YouTube | Crypto Sheriff: How it Works


Diesen Beitrag teilen