Ransomware verhindern

Ein falscher Klick und schon ist es passiert: Ransomware hat den eigenen Rechner als Geisel genommen. Das bedeutet meistens den Verlust aller Daten dieses Rechnes und allen Daten-Ablagen, auch welche der Rechner Zugriff hatte.

Nachfolgend ein paar Tipps, wie Sie sich davor schützen könnten - und wie sie Ihre Daten zurückholt können, wenn es eigentlich schon zu spät ist.

Was ist Ransomware genau und welche Arten gibt es?

Als Ransomware wird jede Art von Schadsoftware bezeichnet, die dem Nutzer den Zugriff auf seine eigenen Daten (oder gleich den ganzen Rechner) sperrt und erst gegen Zahlung eines Lösegeldes wieder freigibt. Bekannte Beispiele für Ransomware sind die Trojaner Petya, Locky, Teslacrypt und CryptoWall. Allgemein unterscheidet man bei Erpressungs-Trojanern zwischen zwei Varianten:

  • Sogenannte Kryptotrojaner (auch Verschlüsselungs-Trojaner genannt) verschlüsseln Dateien und machen sie so für den Nutzer unlesbar. Gegen Zahlung eines Lösegeldes wird eine Entschlüsselung der Dateien in Aussicht gestellt, sodass man wieder ganz normal darauf zugreifen kann. Ein bekanntes Beispiel für solche Verschlüsselungs-Trojaner ist Locky.
  • Lockscreen-Trojaner lassen die Dateien selbst unangetastet. Sie beschneiden stattdessen die Eingabemöglichkeiten des Nutzers so, dass keine Nutzung des Rechners mehr möglich ist. Üblicherweise verhindert ein Sperr-Bildschirm (Lockscreen) die ordnungsgemäße Funktion des Systems.

Die Aufforderung zur Zahlung eines Lösegeldes per eingeblendetem Vollbild-Hinweis haben beide Ransomware-Arten gemeinsam. Die Erpresser bieten als Gegenleistung ein Passwort beziehungsweise Key zur Entschlüsselung der Daten oder eine Freischaltung des Rechners an. Neben der moralischen Frage, ob eine solche Überweisung die richtige Reaktion auf eine Erpressung ist, drängt sich zudem die Frage der Vertrauenswürdigkeit auf: ob man im Anschluss an die Zahlung des Lösegeldes tatsächlich den Entschlüsselungscode ausgehändigt bekommt, ist nicht sichergestellt!

Wie kann ich mich vor Ransomware schützen?

Wer denkt, er sei vor Ransomware wie Locky & Co geschützt, weil er grundsätzlich keine unsicheren Seiten besucht und keine E-Mail-Anhänge unbekannter Absender öffnet, der irrt zumindest teilweise. Natürlich minimiert man so die Infektionsgefahr, einen vollständigen Schutz vor Schadsoftware bedeutet auch das allerdings nicht. Grundsätzlich empfehlenswert ist es, mit spezieller Software wie RansomFree oder Malwarebytes 3 der Sicherheit auf die Sprünge zu helfen. Das schützt unter anderem vor Bedrohungen wie Locky und CryptoLocker und dreht dank Verhaltenserkennung sogar noch unbekannten Verschlüsselungs-Trojanern den Saft ab, bevor sie sich an den eigenen Daten zu schaffen machen.

Weiterhin empfiehlt es sich, einige Verhaltensregeln im täglichen Umgang mit PC und Internet zu befolgen, um einem möglichen Schaden durch Malware im Allgemeinen und Ransomware im Besonderen vorzubeugen:

Nutzerkonto: Einer Infektion lässt sich konsequent vorbeugen, indem der User mit den täglich im Einsatz stehenden Benutzerkonto, KEINE LocalAdmin-Rechte hat auf seine Rechner hat. Jeder im Unternehmen. Auch die Systemadministratoren!

Jeder Benutzende hat sein Gastkonto als Standardnutzeroberfläche einzurichten. Da dieser Account weniger Rechte (keine Installationsrechte) hat, kann Ransomware hier nicht so tief ins System vordringen und idealerweise gar keinen Schaden anrichten. Für Administrationszwecke sind dedizierte Admin-Acounts (parallel) einzurichten, in welchen der Internetzugang unterbunden ist.

KEIN WebBrowser zur Verfügung stellen auf Windows - Serversystemen. Und wenn doch zwingend erforderlich, dann so konfigurieren, dass kein direkter Zugang zum Internet damit möglich ist.

Makro-Sicherheit von Office-Anwendungen und PDF-Dateien mit Formularen

Konfigurieren Sie Ihre Domain-Einstellungen so, dass Dateien mit Makros in/von Office-Anwendungen nur ab klar definierten und überwachten Netzwerklaufwerken zugelassen / möglich sind. Lokale Laufwerke, User-Desktop, Download-verzeichnis, Temp usw. sind strickte zu blockieren.

E-Mail-Schutz:Gefälschte und trügerische Mails können von einer speziellen Sicherheitssoftware noch in Ihrem Posteingang sichergestellt werden. So vermeiden Sie, dass Sie eine solche Mail in die Irre führt. Antivirensoftware stellt zusätzlich Schädlinge wie Trojaner fest und macht sie dingfest.

Keine Terminalserver im Internet betreiben

Keine Terminalserver-Sessions via Port 3389 im Internet publizieren. Wenn dies ohne ein VPN dazwischen dennoch nötig sein sollte, dann nur über eine professionelle JumpHost-Lösung und mit 2 factor authentication.

Backups anlegen

Die alte Leier – aber immer noch die beste Methode, um dem Verlust von Daten vorzubeugen. Legt in regelmäßigen Abständen Backups von allen eurer Daten an. Der Ärger über einen Ransomware-Befall des eigenen Systems hält sich so zumindest in Grenzen. Lasst das Speichermedium für eure Datensicherung aber nicht dauerhaft an den Rechner angeschlossen, da es sonst ebenfalls Opfer der Verschlüsselung wird! Dies gilt auch für Netzlaufwerke. Deswegen sind USB-Sticks, externe Festplatten und DVDs für Backups geeignet, die erst wieder angeschlossen werden dürfen, wenn das System sauber ist.

Offline-Backup von Netzwerk-Speichersystemen

Die Backup und SnapShots Ihrer SAN und SAN Storges sind so zu konfigurieren, dass immer auch Versionen über mehrere Wochen zurück auf Offline-Medien gehalten werden

Updates und Patches installieren

Jede auf eurem Rechner installierte Software, vom Betriebssystem über Büro-Anwendungen bis hin zu Laufzeitumgebungen und dem bekannten Flash Player, bringen potenzielle Sicherheitslücken mit, die Malware-Programmierer ausnutzen. Um Sicherheitslücken zu reduzieren, solltet ihr stets alle Programme auf dem neusten Stand halten. Zudem ist es besser, unnötige Software zu deinstallieren. Dies ist zum Beispiel beim Flash Player der Fall, da Video-Streams heute den MP4-Codec nutzten und nicht mehr Flash.

Schutz vor unsicheren Webseiten

Unsichere Webseiten sind ein großes Risiko, denn sie versuchen Schadsoftware beim Öffnen auf dem Computer zu installieren. Leider weiß man nicht, ob eine Seite unsicher ist oder nicht. Denn wer etwas über eine Suchmaschine sucht, bekommt immer Webseiten angezeigt, die man selbst noch nicht kennt. Aber sind sie auch sicher? Browser wie Firefox und Google Chrome nutzen den Google Safe-Browsing-Service, um vor gefährlichen Downloads zu warnen. Und Add-ons wie NoScript unterbinden JavaScript das Schadcode ausführen könnte. Auch Ad-Blocker wie uBlock Origin führen Listen von gefährlichen Domains und blockieren sie ebenso wie Werbung. Zudem bietet so manche Antivirus-Software einen Schutz beim Surfen und vor gefährlichen Webseiten an.

Vorsicht bei E-Mails mit Links zum Internet

Links in Phishing-Mails führen nicht selten zu betrügerischen Webseiten, die von dem sicheren Original optisch nicht zu unterscheiden sind. Achtet deshalb vor dem Klick auf Buttons auf die Web-Adresse, die in der linken unteren Ecke eures Browsers oder Mailclients angezeigt wird, wenn ihr den Mauszeiger über den Link fahrt. Ist hier eine URL abzulesen, die nichts mit dem Namen der besuchten Webseite oder des Webseiten-Betreibers zu tun hat, solltet ihr auf den Klick verzichten.

Lesezeichen nutzen

Für das Onlinebanking ist der beste Schutz ein Lesezeichen, das euch zur richtigen Onlinebanking-Webseite der Bank oder Sparkasse führt. Dieses solltet ihr immer anstelle von Links in E-Mails nutzen. Denn so vermeidet ihr bei einer Phishing-Mail, dass ihr zu einer Fake-Seite geleitet werdet, die eure Nutzerdaten und das Passwort klaut. Zudem schützen Lesezeichen vor Tippfehlern. Denn leider kommt es immer wieder zu Vertippern, durch die eine Seite mit ähnlichem Namen aufgerufen wird. Manche Hacker besorgen sich bewusst Domains mit Namen, die nur wenig von jenen viel genutzter Webseiten abweichen. Sie spekulieren auf Tippfehler und versuchen dann beim Aufruf ihrer Seite Schadcode zu verteilen.

Nur E-Mails sowie E-Mail-Anhänge von bekannten Absendern öffnen

Immer wieder gelangen E-Mails unbekannter Absender vorbei am Spamfilter in unsere E-Mail-Postfächer. Wer hier dem Grundsatz folgt keine E-Mails und insbesondere keine Anhänge von unbekannten Absendern zu öffnen, der verringert die Gefahr, Opfer von Ransomware zu werden. Aber auch für den Bereich elektronische Post gilt: einen 100%igen Schutz gibt es nicht. Deshalb ist es empfehlenswert, den Absender einer E-Mail mehrmals zu überprüfen, bevor man die Mail sowie eine angehängte Datei oder Link öffnet. Einige Dateitypen sollten euch grundsätzlich misstrauisch machen, unter anderem .asf, .exe, .avi, .mov, .mpg, .bat, .scr, .zip, .rtf, .doc, .pif, .reg sowie .vbs. Ist euch der Absender persönlich bekannt, ruft ihn im Zweifelsfall an und fragt, ob die E-Mail und der Anhang von ihm sind.

Erweiterungen bei bekannte Dateitypen nicht ausblenden

Windows hat die Eigenart, dass standardmäßig bekannte Dateiendungen ausgeblendet werden. Dies kann zu bösen Verwechslungen führen. Denn lautet ein Dateiname zum Beispiel Dokument.pdf, ist "pdf" nicht die Dateiendung, da diese ausgeblendet wird. Die Datei könnte vollständig Dokument.pdf.exe heißen und wäre damit eine ausführbare Datei, die vielleicht Schadsoftware installiert, wenn man sie öffnet, um das angebliche PDF-Dokument zu betrachten. Deswegen müsst ihr in den Optionen des Windows-Explorers den Punkt "Erweiterungen bei bekannten Dateientypen ausblenden" deaktivieren, damit Windows den Dateinamen mit Dateiendung vollständig anzeigt.

Remoteunterstützung bei Windows deaktivieren

Ransomware bedroht nicht nur lokale Computer, sondern infiziert auch das Netzwerk. Dazu nutzt die Schadsoftware das Remote Desktop Protocol (RDP), das den entfernten Zugriff von unterwegs aus auf den Windows-PC erlaubt. Zur Sicherheit solltet ihr die Remoteunterstützung in den Systemeigenschaften deaktivieren.

Software für den Schutz vor Ransomware installieren

Neben regelmäßigen Backups und einem aufmerksamen Umgang mit dem Internet solltet ihr eine aktuelle Schutz-Software wie RansomFree oder Malwarebytes 3 auf dem Rechner installieren, um euch gegen Ransomware wie WannaCry zu schützen.

Was kann ich tun, wenn ich Opfer von Ransomware geworden bin?

Eine Zahlung des geforderten Lösegeldes an die Hacker mag nahe liegen, um wieder Zugriff auf seine Daten zu erhalten. Aber kann man Kriminellen vertrauen? Eine Garantie, dass ihr das Passwort zum Entschlüsseln erhaltet, gibt es nicht! Zudem sind die Lösegeldforderungen oft hoch und das Bezahlen moralisch falsch, da dies die Täter zum Weitermachen motiviert.

Ein Helfer in der Not kann das Trend Micro Anti-Ransomware Tool sein. Es erstellt unter anderem bootfähige USB-Sticks, die am Lockscreen vorbei einen Systemzugriff ermöglichen, und schmeißt die Schadsoftware über diese Hintertür dann gleich vom Rechner. Laut Hersteller schützt das Tool auch gegen die Ransomware WannaCry, die im Mai 2017 weltweit sehr viele Rechner infizierte. Verschlüsselte Dateien kann die Software aber nicht entschlüsseln. Hier hilft nach dem Ransomware-Befall nur eines: Warten und hoffen, dass der Code hinter dem jeweiligen Schadprogramm geknackt wird, mit dem sich die Dateien wieder entschlüsseln lassen. Wer ein aktuelles Backup der Dateien hat, spart sich das Warten und kann dieses zur Wiederherstellung nutzen.

https://www.melani.admin.ch/melani/de/home/themen/Ransomware.html

https://www.melani.admin.ch/melani/de/home/dokumentation/checklisten-und-anleitungen/merkblatt-it-sicherheit-fuer-kmus.html