Ransomware
Verstehen
Bei Ransomware handelt es sich um Malware (Schadsoftware). Sie ist darauf ausgelegt, die Dateien auf dem Computer sowie auf verbundenen Netzlaufwerken des Opfers zu verschlüsseln. Somit werden diese für das Opfer unbrauchbar.
Vermeiden
Die ausgenutzten Einfallstore bei Ransomware-Angriffen sind meist, wie bei jeglicher Malware, das Remote Desktop Protokoll, Phishing-E-Mails und Softwareschwachstellen.
Um Angriffe über diese Wege zu erschweren, sollten folgende Maßnahmen im Fokus stehen:
- Fortlaufende Sensibilisierung aller Anwenderinnen und Anwender
- Zentrale Regeln für sichere Passwörter
- Kontinuierliche Beseitigung von Schwachstellen
Erkennen
Vor der vollständigen Verschlüsselung helfen Firewalls und Intrusion-Prevention-Systeme (IPS) dabei Angriffe zu erkennen und zu unterbinden. Dazu analysieren die Systeme den Datenverkehr und das Verhalten von Anwendungen im Normalzustand. Nach einer initialen Lernphase erkennen IPS Anomalien und untypische Verhaltensmuster und reagieren darauf mit Warnungen oder anderen konfigurierten Abläufen.
Nach oder während einer Verschlüsselung bemerken aktive Anwenderinnen und Anwender meist folgende Auffälligkeiten:
- Unerwartetes Verhalten der Systeme, beispielsweise ein nicht funktionierendes E-Mail-Programm
- Lösegeldforderung auf dem Bildschirm
- Dateien mit ungewohnten Endungen
Beheben
Sobald ein erfolgreicher Ransomware-Angriff festgestellt wurde, sollte eine Isolation aller betroffenen Systeme geprüft werden. Durch diesen Schritt ist es möglich, eine laufende Ausbreitung zu unterbrechen und den Schaden einzudämmen.
Da eine vollständige Bereinigung von betroffenen Systemen nur schwer sicherzustellen ist, ist es in der Regel ratsam alle infizierten Systeme komplett neu aufzusetzen. Das Active Directory (zentraler Verzeichnisdienst) sollte hierbei eine besondere Betrachtung erfahren.
Erst wenn die Infektion ausgeschlossen ist, kann mit der Wiederbereitstellung der Daten begonnen werden.
Handlungshinweise:
- Die Lösegeldforderung nicht bezahlen
- Meldepflicht beachten, insbesondere falls personenbezogenen Daten betroffen sind
- Nach bereits vorhandenen "Decryptor" suchen, da einige Ransomware-Varianten bereits geknackt wurden