Allgemeine Informationen

Was ist Ransomware?

Ransomware ist eine Schadsoftware, die in einem System persönliche Daten des Nutzers verschlüsselt. Um die Dateien wiederherzustellen wird ein Lösegeld (häufig in der Krypto-Währung Bitcoin) gefordert. Es gibt dabei zahllose Varianten, die jeweils unterschiedliche Verbreitungswege, Funktionsweisen und Verschlüsselungsalgorithmen nutzen (z.B. Cerber, Crypt0L0cker, GoldenEye, Locky, CrySiS, u.v.m.)

Folgende Punkte zu Ransomware sollte man unbedingt wissen:

  • Es gibt mehrere tausend Varianten von Ransomware, wobei sie sich teilweise nur in Details unterscheiden
  • Die Namensgebung ist NICHT EINHEITLICH! Sowohl Sicherheitsforscher als auch Antiviren-Hersteller nutzen teilweise eigene/unterschiedliche Namen für bestimmte Ransomware Varianten
  • Ransomware wird häufig als RaaS (Ransomware-as-a-Service) im Internet (bzw. großteils im Darknet) angeboten
Ransomware

Wie kann ich mich mit Ransomware infizieren?

Die Wege der Infektion sind vielfältig. Folgende Wege der Infektion treten am häufigsten (in unseren - europäischen - Breiten) auf:

  • durch Fernwartungs-Tools (derzeit meistens via Remotedesktop (RDP)
  • über E-Mails per Dateianhang oder Links (Rechnungen, Nachrichten von Paketdiensten, Bewerbungsschreiben, Anwaltsbriefen, Nachrichten von Social Media Plattformen wie Facebook, LinkedIn, ... Mails von vorgeblich systemeigenen "Scannern, Druckern"
  • via Drive-by-Downloads oder Malvertising
  • Supply-Chain-Attack (Updates von Software)
  • ... andere Exploits
Weitere Informationen finden Sie hier

Was mache ich, wenn ich infiziert bin?

Nach einem erfolgten Ransomware-Angriff, sind die gesetzten Maßnahmen und die richtige Reaktion oft entscheidend über das Schadensausmaß sowie die Erfolgsquote bei der Wiederherstellung Ihrer Daten. Generell sollten betroffene Geräte unverzüglich und sofort von allen Netzwerken (LAN, WLAN) getrennt, sowie sämtliche externen Datenträger (USB-Sticks, Externe Festplatten, SD-Karten, Kameras, etc.) umgehend vom betroffenen Gerät entfernt werden. In den meisten Fällen ist es ratsam, das betroffene Gerät ebenfalls sofort vom Strom zu trennen bzw. Auszuschalten, da hiermit der Verschlüsselungsprozess in manchen Fällen noch rechtzeitig unterbrochen werden kann. Bei Notebooks kann es dabei unter Umständen erfoderlich sein, den verbauten Akku zu entfernen.

Generell sollten alle Maßnahmen umgehend und vorab mit einem IT- oder IT-Security Experten abgeklärt werden, da bei unterschiedlichen Ransomware-Varianten teilweise auch unterschiedliche Vorgehensweisen zu empfehlen sind. In Unternehmen ist in manchen Fällen zudem die Erstellung eines Abbildes (Imaging) der betroffenen Datenträger und des Arbeitsspeichers zu empfehlen, um zu einem späteren Zeitpunkt forensische Analysen, z.B. zur Wiederherstellung der Schlüssel aus dem Arbeitsspeicher, zu ermöglichen. Weitere Informationen finden Sie hier

Sollte ich das Lösegeld bezahlen?

Prinzipiell wird nicht empfohlen, das Lösegeld zu bezahlen. Die schnellste Problemlösung wäre, ein vorhandenes Backup einzuspielen. Wenn kein Backup vorhanden ist, oder das Backup ebenfalls verschlüsselt wurde, sollte man zuerst nach frei verfügbaren Entschlüsselungstools suchen (wie beispielsweise über nomoreransom.org. Wenn eine Suche nach einem kostenlosen, frei verfügbaren Entschlüsselungstool negativ verlief, und eine Entschlüsselung beispielsweise aus wirtschaftlichen Gründen nicht warten kann, sollte man folgende Überlegungen vor der Bezahlung des Lösegelds in Betracht ziehen:

  • Es ist zwar wahrscheinlich, aber nicht garantiert, dass die Daten nach Bezahlung des Lösegelds wieder entschlüsselt werden.
  • Wenn Sie vorhaben zu zahlen und per E-Mail mit der Täterschaft in Kontakt stehen: versuchen Sie zu handeln! Oft werden wahnwitzige Summen gefordert und den Tätern ist bewusst, dass wenn zu viel gefordert wird, kein Lösegeld gezahlt wird.

Welche Maßnahmen sollten nach einem Ransomware Angriff durchgeführt werden?

Auch wenn die Geräte und das gesamte Netzwerk bereits bereinigt wurden, sollte man unbedingt folgende Punkte durchführen

  • Schließen Sie alle Sicherheitslücken! Dafür sollten Sie auch feststellen, wie das Gerät/System/Netzwerk infiziert wurde!
  • Überprüfen Sie, ob Daten von Ihren Geräten heruntergeladen wurden! (Beispielsweise anhand von Firewall-Logs bzw. auch anhand von Event-Logs ließe sich Entsprechendes belegen.)
  • Ändern Sie sämtliche Passwörter in Ihrem System, wenn Sie nicht sicher sind, ob nicht doch die Täterschaft auf Ihre Daten Zugriff hatte.
Weitere Informationen finden Sie hier

Was bringt es, bei der Polizei Anzeige zu erstatten?

Bitte folgende Punkte bedenken, bevor sich der Gedanke breit macht "die Polizei macht ja eh nix/kann nix machen":

  • Ohne Anzeige, werden die Täter nie zur Rechenschaft gezogen werden!
  • Wenn keine Anzeigen vorliegen wird das Problem nicht erkannt werden und hier auch keine weiteren Maßnahmen gesetzt werden
  • Auch politisch wird das herrschende Problem nicht ernst genommen, wenn keine konkreten Anzeigen vorliegen (leider lebt die Strafverfolgung zum guten Teil von der Kriminalstatistik)
  • Die Ermittlungsbehörden bekommen nicht genügend Ressourcen zur Strafverfolgung zur Verfügung gestellt
Gerade in Österreich werden sämtliche Fälle von Verschlüsselungstrojanern zentral in einer Ermittlungsgruppe ("SOKO Clavis" im Bundeskriminalamt) bearbeitet. Dort werden sämtliche Informationen gesammelt und zielführend verarbeitet um die Täter auszuforschen.

Wie kann ich mich vor Ransomware schützen

Kurz zusammengefasst hilft bereits die Einhaltung folgender Punkte:

  • Backup, backup, backup ... Finden Sie eine passende Strategie, für sich selbst (privat) und insbesondere für Ihr Unternehmen!
  • Öffnen Sie Dateianhänge und Links in E-Mails mit Bedacht (auch von bekannten Absendern)
  • Aktivieren Sie Makros in (Office-)Dokumenten, nur wenn tatsächlich erforderlich
  • Nutzen Sie aktuelle Anti-Viren-Software (auf Ihrem Computer, Laptop, Mobiltelefon - unabhängig vom verwendeten Betriebssystem
  • Vergessen Sie nicht, Ihre Programme regelmäßig auf den aktuellsten Stand zu bringen (Updates)
  • Verwenden Sie individuelle Zugangsdaten für den Fernzugriff auf Ihr Computersystem/Netzwerk. Vermeiden Sie "Standarduser" wie Admin, Guest, User01, etc. Vergeben Sie dazu komplexe Passwörter, die sonst in keinen anderen Applikationen genutzt werden.
  • ...
Weitere Informationen finden Sie hier

© Copyright 2017 Ransomware.at. Alle Rechte vorbehalten.

v2.0, aktualisiert 24.05.2018